(21 放 高 等 学 校 网 络 空间 安全 专业 规划 教材 ) &» 云南 省 普通 高 等 学 校 “ 十 二 五 ”规划 教材 


信息 安全 工程 


@ 林 美 康 叭 张 一 凡 朱 艳 注 张 崔 ”编著 


所 壮大 学 出 版 社 


21 世纪 高 等 学 校 网 络 空间 安全 专业 规划 教材 


信息 安全 工程 


林 英 康 雁 张 一 凡 朱 艳 萍 张 雁 编著 


清华 大 学 出 版 社 
北京 


内 容 简 介 


本 书 以 信息 安全 工程 理论 为 基础 ,以 实际 工程 应 用 为 目标 ,对 信息 安全 从 规划 与 控制 .需求 与 分 析 、 实 
施 与 评估 等 工程 过 程 进行 描述 ,并 结合 具体 信息 安全 工程 案例 的 实现 ,介绍 信息 安全 工程 的 内 容 。 

本 书 首先 介绍 安全 工程 基础 ,涉及 软件 /系统 工程 基础 .质量 管理 基础 、 能 力 成 熟 度 模型 基础 以 及 项 目 
管理 基础 等 内 容 ; 其 次 介绍 安全 工程 过 程 实践 ,涉及 信息 系统 安全 工程 (ISSE) 、 系 统 安 全 工程 能 力 成 熟 度 
模型 (SSE-CMM) 信息 安全 工程 实施 信息 安全 风险 评估 等 内 容 ; 最 后 介绍 项 目 管理 过 程 和 实践 ,涉及 数 
据 备份 与 灾难 恢复 .生命 周期 安全 支持 以 及 信息 安全 工程 管理 等 内 容 。 

本 书 概念 清晰 ,层次 分 明 ,内容 涉 及 的 范围 比较 广 ,不 仅 适 合作 为 信息 安全 专业 及 相关 专业 的 教学 用 
书 , 还 适合 对 安全 工程 技术 感 兴 趣 的 人 员 阅 读 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防 伪 标 签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举 报 电话 : 010-62782989 13701121933 


图 书 在 版 编目 (CIP) 数 据 

信息 安全 工程 / 林 英 等 编著 . 一 北京 : 清华 大 学 出 版 社 ,2019 
(21 世纪 高 等 学 校 网 络 空间 安全 专业 规划 教材 ) 

ISBN 978-7-302-52505-9 


工 . Q 信 … ” 工 . 巴林 … 于 . 巴 信 息 安全 一 安全 工程 一 高 等 学 校 一 教材 N. TP309 


中 国 版 本 图 书馆 CIP 数据 核 字 (2019) 第 109729 号 


责任 编辑 : 黄 芝 张爱华 
封面 设计 : 刘 键 
责任 校对 : 李 建 庄 
责任 印 制 : 丛 怀 宇 


出 版 发 行 : 清华 大 学 出 版 社 


网 址 : http://www. tup. com. cn, http://www. wqbook. com 
地 址 : 北京 清华 大 学 学 研 大 厦 A 座 邮 编 : 100084 
社 总 机 : 010-62770175 邮 购 : 010-62786544 


投稿 与 读者 服务 : 010-62776969 ，c-service(Otup. tsinghua. edu. cn 
质量 反馈 : 010-62772015 ，zhiliang(@tup. tsinghua. edu. cn 
课件 下 载 : http://www. tup. com. cn,010-62795954 

: 北京 蚀 海 金 澳 胶 印 有 限 公司 

: 全 国 新 华 书店 

: 185mm X 260mm 印 张 : 15 字 

: 2019 年 9 月 第 1 版 印 

: 1~1500 

: 39. 90 元 


漆 


李 潍 污 计 涂 慌 


: 364 千 字 
: 2019 年 9 月 第 1 次 印刷 


外 避 二 阔 孔 避 
党 内 


口 


六 


: 078251-01 


IJ 


前 


随 着 经 济 和 信息 化 的 发 展 ,信息 资源 已 成 为 社会 发 展 的 重要 战略 资源 ,信息 技术 和 信息 
产业 正在 改变 传统 的 生产 和 生活 方式 ,逐步 成 为 国家 经 济 增长 的 主要 推动 力 之 一 。 信 息 化 、 
网 络 化 的 发 展 已 成 为 不 可 阻挡 、 不 可 回避 ,不 可 逆转 的 历史 潮流 ,信息 技术 和 信息 的 开发 应 
用 已 渗透 到 国家 政治 经济、 军事 和 社会 生活 的 各 个 方面 ,成 为 生产 力 的 重要 因素 。 

信息 时 代 人 们 在 享受 其 所 带 来 的 种 种 物质 和 文化 享受 的 同时 ,也 受到 日 益 严 重 的 来 自 
网 络 的 安全 威胁 ,如 数据 急 取 、 黑 客人 侵 、 病 毒 发 布 。 尽 管 人 们 正在 广泛 地 使 用 各 种 复杂 的 
软件 技术 ,如 防火 墙 \ 入 侵 检 测 .访问 控制 ,但 黑客 活动 越 来 越 猩 狂 ,无 孔 不 和 人 ,对 社会 造成 了 
严重 的 危害 。 可 以 说 ,信息 化 发 展 程度 越 高 ,面临 的 信息 安全 风险 就 越 大 。 信 息 安全 的 建设 
实际 上 是 一 个 复杂 的 系统 工程 。 它 要 综合 利用 数学 .物理 .通信 和 计算 机 等 诸多 学 科 的 长 期 
知识 积累 和 最 新 发 展 成 果 ,进行 自主 创新 研究 ,加强 顶层 设计 ,提出 系统 的 完整 的 .协同 的 
解决 方案 。 安 全 问题 的 解决 ,不 能 只 依靠 纯粹 的 技术 和 简单 的 安全 产品 的 堆砌 ,也 不 能 仅 靠 
安全 管理 体系 建设 。 安 全 问题 的 解决 也 是 一 个 复杂 的 系统 工程 ,需要 采用 工程 的 概念 、 原 
理 .技术 和 方法 来 研究 开发、 实施 与 维护 信息 系统 安全 。 因 此 ,把 信息 安全 作为 一 个 整体 的 
工程 进行 研究 ,具有 重要 的 现实 意义 。 

本 书 共 分 10 章 。 第 1 章 绪论 ,阐述 信息 安全 基本 属性 及 信息 安全 工程 的 发 展 由 来 ; 第 
2 章 信 息 安全 工程 基础 ,介绍 信息 安全 工程 相关 的 一 些 理论 基础 ,如 系统 工程 思想 、 项 目 管 
理 方 法 及 质量 管理 体系 ; 第 3 章 信息 系统 安全 工程 ,详细 介绍 信息 系统 安全 工程 (ISSE) 方 
法 论 ; 第 4 章 SSE-CMM ,详细 介绍 系统 安全 工程 -能 力 成 熟 度 模型 (SSE-CMM) ;第 5 音信 
息 安全 风险 管理 与 风险 评估 ,介绍 风险 管理 与 风险 评估 的 相关 概念 及 实施 流程 和 方法 ;第 6 
章 信 息 安 全 管理 ,介绍 信息 安全 管理 的 相关 概念 及 常用 的 一 些 信息 安全 管理 模型 ;第 7 章 安 
全 层次 划分 ,主要 介绍 如 何 从 安全 的 密码 算法 、 安 全 协议 、 网 络 安全 、 系 统 安 全 及 应 用 安全 等 
方面 来 探讨 安全 解决 方案 ; 第 8 章 信息 安全 事件 应 急 处 理 与 灾难 恢复 ,介绍 信息 安全 事件 
应 急 处 理 与 灾难 恢复 过 程 ; 第 9 章 信息 安全 标准 与 法 律 法 规 , 介 绍 信息 安全 相关 标准 与 信 
息 安 全 相关 法 律 法 规 ; 第 10 童 信息 安全 工程 案例 ,以 信息 安全 工程 理论 为 基础 ,结合 一 个 
具体 的 信息 安全 工程 案例 的 实现 ,以 实际 工程 应 用 为 目标 ,对 信息 安全 从 规划 与 控制 .需求 
与 分 析 、 实 施 与 评估 等 工程 过 程 进 行 描 述 。 

本 书 主 要 总 结 了 多 年 信息 安全 工程 本 科教 学 的 内 容 , 同 时 还 参考 了 近年 来 的 文献 资料 。 
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1.1 信息 安全 基础 


1.1.1 信息 安全 的 基本 概念 


随 着 经 济 和 信息 化 的 发 展 , 信 息 资 源 已 成 为 社会 发 展 的 重要 战略 资源 ,信息 技术 和 信息 
产业 正在 改变 传统 的 生产 和 生活 方式 ,逐步 成 为 国家 经 济 增长 的 主要 推动 力 之 一 。 

信息 时 代 在 给 人 们 带 来 种 种 物质 和 文化 享受 的 同时 ,人 们 也 受到 日 益 严 重 的 来 自 网 络 
的 安全 威胁 ,如 数据 窃取 、 黑 客人 侵 病毒 发 布 。 尽 管 人 们 正在 广泛 地 使 用 各 种 复杂 的 软件 
技术 ,如 防火 墙 \ 入 侵 检 测 .访问 控制 ,但 黑客 活动 越 来 越 猩 狂 ,无 孔 不 入 ,对 社会 造成 了 严重 
的 危害 。 

可 以 说 ,信息 化 发 展 程度 越 高 ,面临 的 信息 安全 风险 就 越 大 。 信 息 安全 的 建设 实际 上 是 
一 个 复杂 的 系统 工程 。 它 需要 综合 利用 数学 .物理 .通信 和 计算 机 等 诸多 学 科 的 长 期 知识 积 
累 和 最 新 发 展 成 果 , 进 行 自主 创新 研究 ,加 强 顶 层 设 计 , 提 出 系统 的 ,完整 的 ,协同 的 解决 
方案 。 

1. 信息 安全 的 定义 

首先 来 看 信息 的 定义 ,关于 信息 ,目前 理论 界 中 尚 无 定论 。 控 制 论 的 创始 人 维 纳 
(Norbert Wiener) 认 为 “信息 是 人 们 在 适应 外 部 世界 ,并 使 这 种 适应 反作用 于 外 部 世界 的 过 
程 中 , 同 外 部 世界 进行 互相 交换 的 内 容 和 名 称 ”。 信 息 论 的 奠基 人 香农 认为 “信息 是 用 来 消 
除 随机 不 确定 性 的 东西 >。 我 国信 息 论 专家 钟 义 信 教授 把 信息 定义 为 事物 运动 的 状态 与 方 
式 。 在 ISO/IEC TR 13335, 即 《IT 安全 管理 指南 ) 中 ,信息 是 指 通过 在 数据 上 施加 某 些 约定 
而 赋予 这 些 数据 的 特殊 含义 。 对 现代 企业 来 说 ,信息 是 一 种 资产 , 既 包 括 计 算 机 和 网 络 中 的 
数据 ,还 包括 专利 .标准 .商业 机 密 、 文 件 . 图纸、 管理 规章 .关键 人 员 等 。 

什么 是 安全 ? 安全 同样 没有 一 个 统一 的 定义 。 人 们 对 安全 所 下 的 各 种 定义 如 下 。 

(1) 安全 是 指 客观 事物 的 危险 程度 能 够 为 人 们 普通 接受 的 状态 。 

(2) 安全 是 指 没有 引起 死亡 、 伤 害 、 职 业 病 或 财产 、 设 备 的 损坏 又 或 环境 危害 的 条 件 。 

(3) 安全 是 指 不 因 人 、 机 、 媒 介 的 相互 作用 而 导致 系统 损失 、 人 员 伤 害 、 任 务 受 影响 或 造 
成 的 损失 。 

古人 云 :“ 无 危 则 安 ,无 损 则 全 ”就 是 说 生产 过 程 中 没有 危险 ,没有 发 生 伤 害 或 损坏 的 事 
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件 ,就 叫 作 安全 。 

可 以 说 ,安全 是 生产 过 程 中 人 、 机 、 环 境 、 物 料 等 和 谐 运作 的 一 种 状态 。 安 全 是 相对 的 ， 
因为 从 科学 角度 讲 , 绝 对 安全 的 状态 在 客观 上 是 不 存在 的 ,任何 事物 都 包含 有 不 安全 的 因 
系 ,具有 一 定 的 危险 性 。 安 全 是 信息 的 度量 ,因为 安全 不 再 单纯 以 功能 或 机 制 的 强度 作为 评 
判 指 标 ,而 是 结合 了 应 用 环境 和 应 用 需求 ,使 信息 系统 的 使 用 者 确信 其 预期 的 安全 目标 已 获 
满足 。 

信息 安全 同样 也 没有 公认 和 统一 的 定义 。 在 美国 《联邦 信息 安全 管理 法 》 中 ,信息 安全 
指 保 护 信 息 和 信息 系统 ,防止 未 经 授权 的 访问 、 使 用 泄露. 中断、 修改 或 破坏 ,以 提供 完整 
性 ,保密 性 及 可 用 性 。ISO 17799 从 四 个 方面 定义 信息 安全 : 保护 信息 免 受 各 方 威胁 ; 确保 
组 织 业务 连续 性 ; 将 信息 不 安全 融 来 的 损失 降低 到 最 小 ; 获得 最 大 的 投资 回报 和 商业 
机 会 。 

总 之 ,信息 安全 的 概念 是 随 着 信息 技术 的 发 展 而 不 断 拓 上 展 、 不 断 深 化 的 。 信 息 安 全 概念 
的 外 延 在 不 断 扩 大 ,内 涵 在 不 断 丰 富 ,在 历史 发 展 各 个 阶段 所 强调 的 重点 不 同 ,经 历 了 不 同 
的 发 展演 变 过 程 。 

2. 信息 安全 基本 属性 

信息 安全 的 三 个 重要 的 基本 属性 被 称 为 信息 安全 金 三 Confidentiality 
角 , 即 所 谓 的 CIA (Confidentiality-Integrity-Availability) 金 三 
角 。CIA 模型 如 图 1-1 所 示 。 

(1) Confidentiality 即 机 密 性 。 机 密 性 也 被 称 为 保密 性 ， Integrity 
是 指 信 息 不 被 泄露 给 非 授 权 的 用 户 、 实 体 、 进 程 ,或 被 其 利用 
的 特性 。 机 和 密 性 确保 只 有 那些 被 授予 特定 权限 的 人 才能 够 访 
问 到 信息 。 机 密 性 包括 信息 内 容 的 保密 及 信息 状态 的 保密 。 和 常用 的 技术 手段 有 防 侦 收 、 防 
辐射 ,信息 加 密 、 物 理 保密 信息 隐藏 等 。 

(2) Integrity 即 完 整 性 。 完 整 性 是 指 信 息 未 经 授权 不 能 进行 更 改 的 特性 ,也 就 是 信息 
在 存储 或 传输 过 程 中 保持 不 被 偶然 或 昔 意 地 删除 修改、 伪造 、 乱 序 、 重 放 、 插 入 等 破坏 和 于 
失 的 特性 。 设 备 故 障 、 误 码 、 人 为 攻击 、 计 算 机 病毒 等 是 破坏 完整 性 的 主要 因素 。 协 议 、 纠 错 
编码 方法 、 密 码 校 验 和 方法 、 数 字 签 名 、 公 证 等 是 保证 完整 性 的 主要 机 制 。 

(3) Availability 即 可 用 性 。 可 用 性 是 指 信 息 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 ， 
即 用 户 在 需要 时 就 可 以 使 用 所 需 的 信息 。 信 息 的 可 用 性 涉及 面 较 广 , 涉 及 人 硬件 可 用 性 、 软 件 
可 用 性 、 人 员 可 用 性 及 环境 可 用 性 等 。 可 用 性 目前 没有 理论 模型 ,是 一 种 综合 性 的 度量 。 对 
可 用 性 的 攻击 就 是 阻 断 信息 的 可 用 ,例如 DDoS 攻击 的 目的 就 是 破坏 目标 系统 的 可 用 性 。 

机 密 性 、 完 整 性 、 可 用 性 这 三 大 基本 属性 也 是 信息 安全 的 基本 目标 ,然而 ,这 三 大 目标 之 
间 又 相互 矛盾 ; 机 密 性 要 求 数 据 访 问 者 少 ; 完整 性 要 求 数据 的 同步 、 变 化 的 共 知 ; 可 用 性 要 
求 读 取 数据 方便 ,没有 频繁 的 验证 。 因 此 ,“ 安 全 ”与 “方便 ”常常 是 有 矛盾 的 。 为 了 取得 这 三 
大 基本 属性 的 安全 ,需要 进行 一 些 平衡 和 考虑 。 

除了 上 面 介 绍 的 三 个 基本 属性 之 外 ,还 有 其 他 一 些 属性 也 用 于 描述 信息 安全 的 不 同 特 
性 ,如 真实 性 、 可 控 性 、 合 法 性 、 实 用 性 、 占 有 性 、 唯 一 性 、 不 可 否认 性 、 可 追溯 性 、 生 存 性 、 稳 定 
性 可 靠 性 特殊 性 等 。 其 中 ,真实 性 反映 的 是 主体 号 份 \ 行 为 及 相关 信息 的 真实 有 效 ; 可 控 
性 反映 的 是 信息 系统 不 会 被 非 授 权 使 用 ,信息 的 流动 可 以 被 选择 性 阻 断 ; 合法 性 反映 的 是 
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信息 或 信息 系统 的 行为 获得 了 授权 ; 实用 性 反映 的 是 信息 加 密 密 钥 与 信息 的 强 关 联 性 及 密 
钥 不 可 丢失 的 特性 ; 占有 性 反映 的 是 信息 载体 不 可 被 盗用 ,确保 由 合法 信息 所 占有 ; 唯一 
性 反映 的 是 各 信息 以 及 信息 系统 行为 主体 之 间 不 会 出 现 混 消 ; 不 可 否认 性 反映 的 是 所 生成 
的 信息 或 信息 系统 的 合法 行为 不 会 被 抵赖 ; 可 追溯 性 反映 的 是 信息 系统 的 行为 具有 被 审计 
的 能 力 ; 生存 性 反映 的 是 信息 系统 在 受到 攻击 时 可 以 通过 采取 降级 等 措施 以 保持 最 低 限 度 
的 核心 服务 能 力 ; 稳定 性 反映 的 是 信息 系统 不 会 出 现 异 常情 况 ; 可 靠 性 反映 的 是 信息 系统 
能 够 保持 正常 运行 而 不 受 外 界 影响 的 能 力 ; 特殊 性 反映 的 是 信息 所 需要 表现 的 特定 内 涵 。 

在 诸多 信息 安全 的 属性 中 ,机 密 性 、 真 实 性 、 可 控 性 、 可 用 性 属于 基本 属性 ,相互 不 能 蕴 
含 。 而 其 他 属性 ,包括 实用 性 、 完 整 性 、 合 法 性 、 唯 一 性 不 可 否认 性 、 特 殊 性 、 占 有 性 、 可 追溯 
性 ,生存 性 、 稳 定性 ,可靠 性 等 , 则 属于 上 述 四 个 基本 属性 的 某 个 侧面 的 突出 反映 ,因此 可 以 
归结 为 这 四 个 基本 属性 之 中 。 其 中 实用 性 反映 的 是 机 密 性 在 密 钥 依赖 方面 的 机 密 属 性 ; 完 

整 性 合法 性 \ 唯 一 性 、 不 可 否认 性 ,特殊 性 分 别 反 映 的 是 真实 性 在 信息 内 容 本 身 \ 信 息 来 源 、 
信息 系统 行为 主体 、 信 息 的 发 布 行为 .信息 炉 方 面 的 真实 属性 ; 占有 性 、 可 追溯 性 分 别 反 映 
的 是 可 控 性 对 信息 资源 的 保护 、 对 信息 及 信息 系统 行为 的 审计 能 力 ; 生存 性 、 稳 定性 、 可 靠 
性 分 别 反 映 的 是 可 用 性 在 信息 系统 的 容 灾 能 力 ,信息 系统 的 健壮 能 力 信息 系统 的 可 靠 能 力 
方面 的 可 用 属性 。 因 此 ,机 密 性 、 真 实 性 、 可 控 性 、 可 用 性 这 四 个 基本 属性 实际 上 就 是 信息 安 
全 的 四 个 核心 属性 ,可 以 反映 出 信息 安全 的 基本 概貌 。 相 对 信息 安全 金三角 而 言 ,业界 著名 
的 信息 安全 专家 方 滨 兴 院士 在 深入 分 析 和 继承 了 传统 信息 安全 定义 的 前 提 下 ,根据 当前 国 
际 信息 安全 的 发 展现 状 , 给 出 了 信息 安全 四 要 素 ,并 重新 概括 和 界定 了 信息 安全 的 内 涵 和 外 
延 。 信 息 安 全 四 要 素 简 称 CACA, 即 机 密 性 (Confidentiality) 真实 性 (Authenticity)、 可 控 
性 (Controllability) 和 可 用 性 (Availability)。 

3. 信息 安全 基本 属性 与 信息 安全 层次 模型 的 关系 

了 解 了 信息 安全 的 一 些 基本 属性 后 ,人 们 可 以 认识 信息 安全 的 这 些 基 本 属性 与 人 们 平 
时 所 关注 的 每 个 层次 的 安全 有 什么 样 的 对 应 以 及 一 些 相应 的 处 理 办 法 。 

(1) 物理 安全 。 物 理 安全 是 指 对 网 络 与 信息 系统 的 物理 装备 的 保护 ,主要 涉及 网 络 与 
言 息 系统 的 机 密 性 、 可 用 性 、 完 整 性 、 生 存 性 、 稳 定性 、 可 靠 性 等 基本 属性 。 所 面 对 的 威胁 主 
要 包括 电磁 泄漏 .通信 干扰 、 信 号 注入 人 为 破坏 .自然 灾害 .设备 故障 等 。 主 要 的 保护 方式 
有 加 扰 处 理 .电磁 屏蔽 .数据 校 验 、 容 错 、 元 余 . 系统 备份 等 。 

(2) 运行 安全 。 运 行 安全 是 指 对 网 络 与 信息 系统 的 运行 过 程 和 运行 状态 的 保护 ,主要 
涉及 网 络 与 信息 系统 的 真实 性 .可 控 性 .可 用 性 、 合 法 性 .唯一 性 .可 追溯 性 .占有 性 .生存 性 、 
稳定 性 可靠 性 等 。 所 面 对 的 威胁 包括 非法 使 用 资源 、 系统 安 全 漏洞 利用 、 网 络 阻塞 、 网 络 病 
毒 .越权 访问 .非法 控制 系统 .黑客 攻击 、 拒 绝 服务 攻击 、 软 件 质量 差 .系统 骨 江 等。 主要 的 保 
护 方 式 有 防火 墙 与 物理 隔离 .风险 分 析 与 漏洞 扫描 、 应 急 响 应 、 病 毒 防治 、 访 问 控制 ,安全 和 审 
计 、 入 侵 检 测 、 源 路 由 过 滤 、 降 级 使 用 、 数 据 备 份 等 。 

(3) 数据 安全 。 数 据 安 全 是 指 对 信息 在 数据 收集 、 处理、 存储 、 检 索 、 传 输 、 交 换 、 显 示 、 
扩散 等 过 程 中 的 保护 ,使 得 在 数据 处 理 层面 保障 信息 依据 授权 使 用 ,不 被 非法 冒充 、 究 取 、 算 
改 .抵赖 ,主要 涉及 信息 的 机 密 性 真实 性 .实用 性 .完整 性 .唯一 性 .不 可 否认 性 .生存 性 等 ; 
所 面 对 的 威胁 包括 窃取 伪造 、 密 钥 截 获 、 算 改 、 冒 充 、 抵 赖 、 攻 击 密 钥 等 。 主 要 的 保护 方式 有 
加 密 、 认 证 、 非 对 称 密 钥 完整 性 验证 ,鉴别 、 数 字 签 名 秘密 共享 等 。 
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(4) 内 容 安全 。 内 容 安全 是 指 对 信息 在 网 络 内 流动 中 的 选择 性 阻 断 ,以 保证 信息 流动 
的 可 控 能 力 。 在 此 ,被 阻 断 的 对 象 是 通过 内 容 可 以 判断 出 来 的 对 系统 造成 威胁 的 脚本 病毒 、 
因 无 限制 扩散 而 导致 消耗 用 户 资源 的 垃圾 类 邮件 、 导 致 社会 不 稳定 的 有 害 信息 等 。 主 要 涉 
及 信息 的 机 密 性 、 真 实 性 、 可 控 性 、 可 用 性 、 完 整 性 、 可 靠 性 等 。 所 面 对 的 难题 包括 信息 不 可 
识别 ( 因 加 密 ) ,信息 不 可 更 改 \ 信 息 不 可 阻 断 、 信 息 不 可 替换 ,信息 不 可 选择 、 系 统 不 可 控 等 。 
主要 的 处 理 办 法 是 密 文 解析 或 形态 解析 、 流 动 信息 的 裁剪、 信息 的 阻 断 \ 信 息 的 替换 ,信息 的 
过 滤 、 系 统 的 控制 等 。 

(5) 信息 对 抗 。 信 息 对 抗 是 指 在 信息 的 利用 过 程 中 ,对 信息 箭 的 真实 性 的 隐藏 与 保护 ， 
或 者 攻击 与 分 析 。 主 要 涉及 信息 炉 的 机 密 性 、 完 整 性 ,特殊 性 等 。 所 面 对 的 主要 问题 包括 多 
角度 综合 分 析 、 攻 击 或 压制 信息 的 传递 ,用 无 用 信息 来 干扰 信息 炉 的 本 质 。 主 要 的 处 理 办 法 
是 消 隐 重 要 的 局 部 信息 ,加 大 信息 获取 能 力 ,消除 信息 的 不 确定 性 等 。 


1.1.2 信息 安全 发 展 过 程 


在 20 世纪 四 五 十 年 代 , 人 们 认为 信息 安全 就 是 通信 安全 ,因为 当时 电报 .电话 、 无 线 通 
信 的 大 量 应 用 ,特别 是 二 次 大 战 的 需求 ,必须 考虑 秘密 消息 在 传输 途中 被 除 发 信者 和 收 信者 
以 外 的 第 三 者 截获 的 可 能 性 ,考虑 即使 截获 者 截获 信息 的 载体 ,如 文本 ,无线 电波 等 ,也 无 法 
得 知 其 中 的 内 容 , 这 个 时 期 ,信息 安全 进入 了 通信 保密 Communication Security 阶段 。 

在 通信 保密 发 展 阶段 , 搭 线 禄 听 及 密码 学 分 析 是 主要 的 安全 威胁 ,因此 必须 考虑 如 何 保 
障 信 息 的 机 密 性 ,研究 如 何 对 信息 进行 编码 后 在 通信 信道 上 传输 ,防止 攻击 者 通过 穷 听 通信 
信道 而 获取 信息 。1949 年 香农 发 表 的 《保密 系统 的 信息 理论 ) 和 1977 年 美国 国家 标准 局 公 
布 的 数据 加 密 标 准 (Data Encryption Standard,DES) 是 信息 安全 这 一 发 展 阶段 的 时 代 标 志 ， 
主要 的 防护 措施 是 数据 加 密 。 

进入 20 世纪 70 年代, 通信 保密 阶段 转变 到 计算 机 安全 (Computer Security) 阶段 ,这 一 
时 期 的 标志 是 1977 年 美国 国家 标准 局 公布 的 《数据 加 密 标 准 》(DES) 和 1985 年 美国 国防 部 
公布 的 《可 信 计 算 机 系统 评估 准则 》(TCSEC) ,这 些 标准 的 提出 意味 着 解决 信息 系统 保密 性 
问题 的 研究 和 应 用 迈 上 了 历史 的 新 台阶 。 

进入 20 世纪 80 年 代 后 ,计算 机 的 性 能 得 到 了 成 百 上 千 倍 的 提高 ,应 用 的 范围 也 在 不 断 
扩大 ,计算 机 已 过 及 世界 各 个 角落 ,人 们 正 努力 利用 通信 网 络 把 孤立 的 单机 系统 连接 起 来 ， 
相互 通信 和 共享 资源 。 但 随 之 而 来 并 日 益 严 峻 的 问题 是 计算 机 中 信息 的 安全 问题 。 由 于 计 
算 机 中 信息 有 共享 和 易于 扩散 等 特性 , 它 在 处 理 、 存 储 、 传 输 和 使 用 上 有 着 严重 的 脆弱 性 ,很 
容易 被 干扰 .得 用 .遗漏 和 丢失 ,甚至 被 泄露 . 客 取 、 贷 改 、 伪 造 和 破坏 ,因此 人 们 开始 关注 计 
算 机 系统 中 的 人 硬件、 软件 及 在 处 理 、 存 储 、 传 输 信 息 中 的 保密 性 。 这 个 阶段 主要 的 手段 是 通 
过 访问 控制 ,防止 对 计算 机 中 信息 的 非 授 权 访问 ,从 而 保护 信息 的 保密 性 。 但 是 , 随 着 计算 
机 病毒 .计算 机 软件 Bug 等 问题 的 不 断 显 现 , 保 密 性 已 经 不 能 满足 人 们 对 计算 机 安全 的 需 
求 ,完整 性 和 可 用 性 等 新 的 计算 机 安全 需求 走 上 舞台 。 

进入 20 世纪 90 年 代 之 后 ,信息 系统 安全 (Information System Security) 开始 成 为 信息 
安全 的 核心 内 容 。 此 时 ,通信 和 和 计算 机 技术 已 经 相互 依存 ,计算 机 网 络 发 展 成 为 全 天 候 、 通 
全 球 、 个 人 化 .智能 化 的 信息 高 速 公 路 ,互联 网 成 了 寻常 百姓 可 及 的 家 用 技术 平台 ,安全 的 需 
求 不 断 地 向 社会 的 各 个 领域 扩展 ,人 们 的 关注 对 象 从 计算 机 转向 更 具 本 质 性 的 信息 本 身 , 继 
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而 关注 信息 系统 的 安全 。 人 们 需要 保护 信息 在 人 存储、 处 理 或 传输 过 程 中 不 被 非法 访问 或 更 
改 , 确 保 对 合法 用 户 的 服务 并 限制 非 授 权 用 户 的 服务 ,确保 信息 系统 的 业务 功能 能 够 正常 运 
行 。 在 这 一 阶段 ,除了 保密 性 完整 性 和 可 用 性 之 外 ,人 们 还 关注 不 可 否认 性 需求 , 即 信息 的 
发 送 者 和 接收 者 事后 部 不 能 否认 发 送 和 接收 的 行为 。 

20 世纪 90 年 代 以 来 ,安全 不 再 局 限于 信息 的 保护 ,人 们 需要 的 是 对 整个 信息 和 信息 系 
统 的 保护 和 防御 ,包括 保护 检测、 反应 和 恢复 能 力 。 信 息 保障 强调 信息 系统 整个 生命 周期 
的 防御 和 恢复 ,同时 安全 问题 的 出 现 和 解决 方案 也 超越 了 纯 技术 范畴 。 信 息 保 隐 阶 段 的 典 
型 标志 是 美国 国家 安全 局 制定 的 《信息 技术 保障 框架 》(IATF), 它 的 核心 思想 是 深层 防御 
战略 。 

安全 与 应 用 的 结合 更 加 紧密 ,其 相对 性 动态 性 引起 注意 ,追求 适度 风险 的 信息 安全 成 
为 共识 ,安全 不 再 单纯 以 功能 或 机 制 的 强度 作为 评判 指标 ,而 是 结合 了 应 用 环境 和 应 用 需 
求 , 强 调 安全 是 一 种 信心 的 度量 ,使 信息 系统 的 使 用 者 确信 其 预期 的 安全 目标 已 获 满足 。 


1.1.3 信息 安全 现状 及 发 展 趋势 


国际 上 围绕 信息 安全 的 斗争 愈演愈烈 ,在 全 球 信息 化 的 同时 ,各 种 新 攻击 与 防护 技术 
(如 对 工业 控制 系统 的 攻击 无界 浏览 硕 、 网 络 刷 票 、 免 杀 等 ) ,新 攻击 与 防护 方法 (如 网 络 身 
份 证 、 云 安全 等 ) 层 出 不 穷 。 这 些 新 攻击 与 防护 技术 所 带 来 的 安全 问题 尤其 突出 , 面 对 越 来 
越 严 峻 的 安全 形势 ,世界 各 国 高 度 重 视 信 息 安全 保障 。 信 息 安 全 已 经 上 升 到 国家 战略 层次 ， 
国外 ,特别 是 欧美 国家 ,其 信息 安全 总 体 发 展 水 平 处 于 领先 地 位 。 

据 Gartner 分 析 , 当 前 国际 大 型 企业 在 信息 安全 领域 主要 有 几 个 发 展 趋 势 。 

(1) 信息 安全 投资 从 基础 架构 回应 用 系统 转移 。 

(2) 信息 安全 的 重心 从 技术 向 管理 转移 ，。 

(3) 信息 安全 管理 与 企业 风险 管理 ,内控 体系 建设 的 结合 日 益 紧密 。 

(4) 信息 技术 逐步 回信 息 安 全 管理 渗透 。 

结合 大 型 企业 信息 安全 发 展 趋势 ,国际 各 大 咨询 公司 厂商 等 机 构 纷 纷 提出 了 符合 大 型 
企业 业务 和 信息 化 发 展 需要 的 信息 安全 体系 架构 模型 ,着 力 建立 全 面 的 企业 信息 安全 体系 
架构 ,使 企业 的 信息 安全 保护 模式 从 较为 单一 的 保护 模式 发 展 成 为 系统 .全面 的 保护 模式 。 

我 国 一 直 高 度 重 视 信 息 安 全 产业 的 发 展 , 早 在 2003 年 ,中 共 中 央 办 公 厅 、 国 务 院 办 公 厅 
转发 了 《国家 信息 化 领导 小 组 关于 加 强 信息 安 全 保障 工作 的 意见 》, 和 党 的 十 六 届 四 中 全 会 将 
言 息 安全 上 升 到 国家 安全 的 战略 层面 ,明确 提出 “确保 国家 的 政治 安全 经济 安全 、 文 化 安全 
和 信息 安全 ”。 面 对 日 益 复 杂 的 全 球 信息 安全 形势 和 国内 信息 安全 现状 ,2012 年 ,党 的 十 
八大 报告 中 强调 ,要 高 度 关 注 网 络 空间 安全 ,并 将 网 络 空间 安全 ,海洋 安全 、 太 空 安全 置 于 同 
一 战略 高 度 。2013 年 ,党 的 十 八 届 三 中 全 会 再 次 指出 :“ 加 大 依法 管理 网 络 力度 ,加快 完 善 
互联 网 管理 领导 体制 ,确保 国家 网 络 和 信息 安全 ”。2014 年 ,中 央 网 络 安全 和 信息 化 领导 
小 组 成 立 ,充分 体现 了 国家 对 信息 安全 的 重视 程度 。 国 内 现在 以 等 级 保护 体系 和 分 级 保护 
体系 为 主要 手段 ,以 保护 重点 为 特点 ,强制 实施 以 提高 对 重点 系统 和 设施 的 信息 安全 保障 水 
平 ,国内 的 信息 安全 标准 通过 引进 和 消化 也 已 经 初步 形成 了 体系 。 可 以 说 ,虽然 目前 国内 的 
言 息 安全 较 国 外 有 一 定 的 距离 ,但 也 正在 快速 在 上。 


1.1.4 ISO/OSI 安全 体系 结构 


OSICOpen System Interconnect, 开 放 系 统 互 连 ) 安 全 体系 结构 的 研究 始 于 1982 年 , 当 
时 OSI 基本 参考 模型 刚刚 确立 , 其 成 果 标 志 是 ISO International Organization for 
Standardization ,国际 标准 化 组 织 发 布 了 ISO 7498-2 标准 作为 OSI 基本 参考 模型 的 新 补充 。 
1990 年 ,ITU 决定 采用 ISO 7498-2 作为 它 的 X. 800 推荐 标准 ,我 国 的 国际 GB/T 9387. 2 一 
1995《 信 息 处 理 系统 开放 系统 互 连 基 本 参考 模型 第 2 部 分 : 安全 体系 结构 等 同 于 ISO/IEC 
7498-2。 在 ISO 7498-2 中 描述 了 开放 系统 互联 安全 的 体系 结构 ,提出 设计 安全 的 信息 系统 
的 基础 架构 中 应 该 包含 5 种 安全 服务 (安全 功能 ) ,能 够 对 这 5 种 安全 服务 提供 文 持 的 8 类 
安全 机 制 和 普遍 安全 机 制 ,以 及 需要 进行 的 5 种 OSI 安全 管理 方式 。 


1. 安全 服务 


OSI 安全 体系 结构 定义 了 5 种 安全 服务 ,包括 鉴别 服务 .访问 控制 服务 数据 完整 性 服 
务 数据 机 密 性 服务 和 抗 抵赖 性 服务 。 

1) 鉴别 服务 

鉴别 服务 就 是 提供 某 个 实体 的 身份 保证 ,包括 对 等 实体 鉴别 和 数据 源 鉴别 两 种 服务 。 

对 等 实体 鉴别 服务 可 以 对 两 个 对 等 实体 (用 户 或 进程 ) 在 建立 连接 和 开始 传输 数据 时 进 
行 身份 的 合法 性 和 真实 性 验证 ,以 防止 非法 用 户 的 假冒 和 伪造 连接 初始 化 攻击 。 

数据 源 鉴别 服务 可 对 信息 源 点 进行 鉴别 ,确保 数据 是 由 合法 用 户 发 出 ,以 防 假 冒 。 

2) 访问 控制 服务 

访问 控制 服务 是 对 某 些 明确 身份 的 用 户 限 制 对 某 些 资源 的 访问 ,是 实现 授权 的 一 种 方 
法 。 访 问 控制 包括 身份 验证 和 权限 验证 ,从 而 防止 未 授权 用 户 非 法 访问 网 络 资源 ,也 防止 合 
法 用 户 越权 访问 网 络 资源 。 

3) 数据 完整 性 服务 

数据 完整 性 服务 防止 非法 用 户 对 正常 数据 的 变更 ,如 修改 .搬入 、 延 时 或 删除 ,以 及 在 数 
据 交 换 过 程 中 的 数据 丢失 。 数 据 完整 性 服务 可 分 为 以 下 5 种 情形 。 

(1) 和 市 恢复 功能 的 面 回 连接 的 数据 完整 性 。 

(2) 不 融 恢 复 功 能 的 面 品 连接 的 数据 完整 性 。 

(3) 选择 字段 面 癌 连接 的 数据 完整 性 。 

(4) 选择 自选 无 连接 的 数据 完整 性 。 

(5) 无 连接 的 数据 完整 性 。 

4) 数据 机 密 性 服务 

采用 数据 机 密 性 服务 的 目的 是 保证 信息 的 机 密 性 。 该 服务 提供 面向 连接 和 无 连接 两 种 
数据 保密 方式 。 机 密 性 服务 还 提供 给 用 户 可 选 字 段 的 数据 保护 和 信息 流 安全 , 即 对 可 能 从 
观察 信息 流 就 能 推导 出 的 信息 提供 保护 。 

5) 抗 抵赖 性 服务 

抗 抵赖 性 服务 可 防止 发 送 方 发 送 数 据 后 否认 自己 发 送 过 数据 ,也 可 防止 接收 方 接收 数 
据 后 否认 已 经 接收 过 数据 。 它 由 两 种 服务 组 成 : 一 是 发 送 ( 源 点 ) 非 抵赖 服务 ; 二 是 接收 
(交付 ) 非 抵赖 服务 。 这 实际 上 是 一 种 数字 签名 服务 。 

对 付 典 型 网 络 威胁 的 安全 服务 如 表 1-1 所 示 ,网 络 各 层 提 供 的 安全 服务 如 表 1-2 所 示 。 


网 络 威 胁 安全 服务 

假冒 攻击 鉴别 服务 

非 授 权 侵犯 访问 控制 服务 

家 听 攻击 数据 机 密 性 服务 

完整 性 破坏 数据 完整 性 服务 

服务 否认 抗 抵赖 性 服务 

拒绝 服务 鉴别 服务 .访问 控制 服务 和 数据 完整 性 服务 等 


表 1-2 网 络 各 层 提 供 的 安全 服务 


网 络 层 次 
安全 服务 数据 
必 别 | 对 等 实体 加 别 | | | vv YY | 
本 | | | vv | | 
访问 控制 vv | 
可 恢复 的 连接 完整 性 | | | JY| | jy 
久 扣 二 | 不 可 恢复 的 连接 完整 性 | | | V | vv | | | > 
狗 性 | 选择 字段 的 连接 完整 性 | | | | | | | 
ET 
选择 字段 的 无 连接 完整 性 | | | | | | 
人 | vv Tv 
数据 机 | 无 连接 机 密 性 | | vvV | vv | > .Yj,y 
性 | 放权 st | | | | | | vv 
业务 流 机 密 性 | V | JY| | | | 
抗 抵 | 数据 源 发 证 明 的 抗 抵 太 性 | | | | | | yx 
祯 性 | 交付 证 明 的 抗 换 束 性 | | | | | | > 


2. 安全 机 制 
OSI 安全 体系 结构 没有 详细 说 明 安 全 服务 应 该 如 何 来 实现 。 作 为 指南 , 它 给 出 了 一 系 
列 可 用 来 实现 这 些 安全 服务 的 安全 机 制 ,安全 服务 与 安全 机 制 的 关系 如 表 1-3 所 示 。 


表 1-3 安全 服务 与 安全 机 制 的 关系 


安全 机 制 
安全 服务 数字 | 访问 | 数据 | 认证 | 业务 流 | 路 由 
几 别 “| 对 等 实体 台 | vv | YY | 
数据 源 发 几 | V | vv | | | | 
访问 控制 自主 访问 榨 制 | | | vv | | 
强制 访问 控制 YY 


续 表 
安全 机 制 

签名 | 控制 | 完整 性 | 交换 | 填充 | 控制 

可 恢复 连接 完整 储 | V | | |vY| | | 

数据 “| 不 可 恢复 连接 完整 储 | V | | | >v | | 
完整 性 “| 选择 字段 连接 完整 性 | V | | Vv| | | 
”过 拉 完 整 EE | vv JvYv| | | 
选择 字段 无 连接 完整 性 | V | V | JVY| | | 
连接 机 密 性 | vv | | | | | [YY_ 

数据 | 无 连接 机 密 性 | vv | | | | | | 
机 密 性 | 选择 字段 机 密 性 | vv | | | | | 
业务 流 机 密 性 | | | | MY 

抗 抵赖 性 | 数据 源 发 证 明 抗 抵赖 性 | | V | Vv| | | 
交付 证 明 抗 抵赖 性 | | V | |v | | | 


OSI 安全 体系 结构 基本 的 机 制 有 加 密 机 制 、 数 字 签 名 机 制 、 访 问 控制 机 制 、 数据 完整 
三 方 


机 制 、 认 证 交换 机 制 、 通 信 业 务 流 填充 机 制 、. 路 由 控制 和 公证 机 制 (把 数据 向 可 信 第 
册 ,以便 可 使 人 相信 数据 的 内 容 , 来 源 、. 时 间 和 传递 过 程 ) 。 


3. 安全 体系 结构 三 维 图 


二 


人 | 人 


公证 


性 
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ISO 7498-2 规定 的 “开放 系统 互 连 安全 体系 结构 ”给 出 了 基于 OSI 参考 模型 的 七 层 协 
议 之 上 的 信息 安全 体系 结构 , 它 定义 了 开放 系统 的 5 类 安全 服务 ,以 及 提供 这 些 服务 的 8 类 
安全 机 制 及 相应 的 OSI 安全 管理 ,并 可 以 根据 具体 系统 适当 地 配置 于 OSI 模 型 的 七 层 协议 
中 。OSI 模型 与 安全 服务 、 安 全 机 制 的 关系 如 图 1-2 所 示 。 其 中 ,一 种 安全 服务 可 以 通过 某 
种 安全 机 制 单独 提供 ,也 可 以 通过 多 种 安全 机 制 联 合 提供 ; 同一 种 安全 机 制 也 可 用 于 提供 
一 种 或 多 种 安全 服务 。 在 OSI 七 层 协议 中 ,最 适合 配置 安全 服务 的 是 物理 层 、 网 络 层 、 传 输 


层 和 应 用 层 ,其 他 各 层 都 不 适宜 配置 安全 服务 。 


OSI 参 考 模型 


7 一 一 应 用 屋 
6 一 一 表示 屋 
5 一 一 会 话 层 
4 一 传输 层 
3 
2 
| 


1-2 ISO 7498 一 2 安全 体系 结构 三 维 图 


1.2 信息 安全 工程 的 相关 概念 


1.2.1 信息 安全 工程 的 发 展 由 来 


可 以 说 ,信息 系统 安全 工程 是 系统 工程 过 程 的 基本 原理 在 信息 安全 领域 内 的 具体 应 

我 国 著名 科学 家 钱学森 院士 认为 ,系统 工程 是 组 织 、 A 
和 使 用 “系统 ”的 科学 方法 ,是 一 种 对 所 有 “系统 ”都 具有 普遍 意义 的 科学 方法 。 

任何 系统 均 有 其 产生 发展, 成熟、 消亡 或 更 新 换代 的 过 程 ,这 个 过 程 称 为 系统 的 生命 周 
期 。 以 基于 系统 工程 的 思想 和 方法 建设 信息 系统 为 例 , 系 统 工程 过 程 按 照 下 述 的 一 般 方 式 
1 

(1) 发 掘 需求 。 

(2) 定义 系统 要 求 。 

(3) 设计 系统 体系 结构 。 

(4) 开展 详细 设计 。 

(5) 实现 系统 。 

(6) 评估 有 效 性 。 

在 挖掘 任务 或 业务 需求 阶段 ,主要 的 工程 行为 是 描述 任务 /业务 并 考虑 有 关 的 政策 要 
求 。 在 定义 系统 功能 阶段 ,系统 工程 师 要 明确 系统 的 目标 ,定义 系统 背景 环境 ,将 目标 转化 
为 系统 功能 和 性 能 要 求 ,并 进行 功能 分 析 , 要 点 是 分 析 功 能 之 间或 功能 与 环境 之 间 的 联系 。 
在 设计 系统 阶段 ,系统 工程 师 要 完成 功能 分 配 、 概 要 设计 和 详细 设计 工作 。 在 实施 系统 阶 
段 ,系统 工程 师 要 完成 采购 、 建 设 和 测试 任务 。 最 后 ,系统 工程 师 要 从 系统 是 否 达 到 了 任务 
需求 以 及 系统 是 否 能 够 依照 组 织 所 期 望 的 方式 操作 这 两 方面 来 评估 系统 的 有 效 性 。 

可 以 看 出 ,通过 以 上 步骤 完成 了 信息 系统 的 建设 。 但 该 信息 系统 是 否 满足 用 户 安 全 需 
求 却 得 不 到 保障 ,因为 安全 问题 的 解决 ,不 能 只 依靠 纯粹 的 技术 ,不 能 靠 简 单 的 安全 产品 的 
堆砌 ,也 不 能 仅 靠 安 全 管理 体系 建设 ; 安全 问题 的 解决 是 一 个 复杂 的 系统 工程 , 即 需 要 采用 
工程 的 概念 、 原理、 技术 和 方法 ,来 研究 `. 开 发 .实施 与 维护 信息 系统 安全 。 

针对 信息 系统 安全 存在 的 各 种 隐患 ,人 们 采取 了 一 系列 的 安全 防范 措施 和 相应 的 技术 ， 
如 物理 隔离 防火墙、 上 身份 认证 ,访问 控制 .身份 鉴别 、 加密、 审计 ,监控 等 。 但 是 在 实际 应 用 
中 ,人 们 逐渐 认识 到 系统 安全 问题 涉及 许多 方面 ,不 是 只 徘 几 种 安全 产品 就 能 解决 。 

(1) 安全 不 是 一 个 单一 的 问题 。 在 绝 大 多 数 信 息 系 统 环境 中 ,风险 点 或 威胁 点 不 是 单 
一 的 ,这 些 风险 点 包括 物理 安全 、 人 逻辑 安全 和 安全 管理 三 个 方面 。 物 理 安全 涉及 关键 设施 设 
备 的 安全 和 资产 存放 地 点 的 安全 等 内 容 : 逻辑 安全 涉及 访问 控制 和 数据 完整 性 等 方面 ; 安 
全 管理 涉及 人 员 安 全 管理 政策 .组 织 安全 管理 政策 等 方面 。 上 述 任何 一 个 方面 如 果 出 了 问 
题 ,都 可 能 引起 安全 事故 。 

(2) 安全 问题 是 动态 的 。 由 于 信息 技术 在 不 断 地 变化 ,信息 技术 安全 问题 具有 动态 性 。 
今天 的 安全 问题 到 明天 也 许 不 再 成 为 安全 问题 ,而 今天 无 关 紧 要 的 问题 ,明天 可 能 成 为 严重 
的 安全 威胁 。 这 种 动态 性 导致 不 可 能 存在 一 劳 永 逸 的 解决 方案 。 

(3) 安全 问题 不 能 仅仅 由 技术 来 完全 解决 。 由 于 存在 着 安全 技术 那 论 , 即 安全 产品 的 
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安全 如 何 保证 ,这 个 问题 可 以 递归 地 问 下 去 ,因此 仅仅 采用 安全 产品 来 防范 难以 奏效 。 

综 上 所 述 ,信息 系统 安全 问题 不 仅 涉 及 安全 技术 .产品 等 方面 ,还 包括 技术 人员、 管理 
等 多 方面 因素 ,必须 采用 系统 化 的 方法 加 以 解决 。 于 是 人 们 提出 了 用 系统 安全 工程 的 思想 
来 解决 安全 问题 。 

系统 安全 工程 是 一 个 非常 复杂 的 过 程 ,技术 性 和 政策 性 者 非常 强 。 按 照 信 息 安 全 工程 
的 思想 来 保证 信息 系统 的 安全 ,就 要 从 安全 体系 的 构成 .安全 基线 的 划分 .安全 风险 的 评 佑 、 
安全 策略 的 制定 .安全 工程 的 实施 以 及 安全 系统 的 管理 等 方面 人 手 来 解决 各 种 问题 。 在 这 
种 情况 下 ,需要 有 规范 的 方法 和 标准 来 指导 系统 安全 的 整个 开发 过 程 , 于 是 信息 安全 工程 应 
运 而 生 。 


1.2.2 信息 安全 工程 的 定义 


信息 安全 工程 是 系统 工程 的 一 个 子 集 ,系统 工程 的 原理 适用 于 信息 安全 工程 的 开发 、 集 
成 .运行 .管理 维护 和 演变 。 由 于 信息 安全 工程 是 一 门 新 兴学 科 , 它 的 产生 和 发 展 比 较 晚 。 
关于 它 的 定义 很 多 ,并 没有 得 到 统一 。 但 现在 有 一 个 比较 全 面 的 说 法 ,信息 安全 工程 是 采用 
工程 的 概念 、 原理、 技术 和 方法 来 研究 `. 开 发 .实施 与 维护 信息 系统 安全 的 过 程 , 是 将 经 过 时 
间 考 验证 明 是 正确 的 工程 实践 流程 管理 技术 和 当前 能 够 得 到 的 最 好 的 技术 方法 相 结 合 的 
过 程 。 

信息 安全 工程 的 研究 范畴 包括 以 下 内 容 。 

(1) 信息 安全 工程 的 目标 .原则 与 范围 。 

(2) 信息 安全 风险 分 析 与 评估 的 方法 .手段 .流程 。 

(3) 信息 安全 需求 分 析 方 法 。 

(4) 安全 策略 。 

(5) 安全 体系 结构 。 

(6) 安全 实施 领域 及 安全 解决 方案 。 

(7) 安全 工程 的 实施 规范 。 

(8) 安全 工程 的 测试 与 运行 。 

(9) 安全 意识 的 教育 与 技术 培训 以 及 应 急 啊 应 技术 、 方 法 与 流程 。 

信息 安全 工程 建设 的 几 个 主要 活动 包括 风险 分 析 与 评价 、 安 全 需求 分 析 、 制 定安 全 策 
略 、 设 计 安 全 体系 结构 、 安 全 工程 实施 及 安全 工程 监理 。 其 中 ,风险 分 析 与 评价 主要 是 对 信 
息 系统 及 其 处 理 \ 传 输 和 存储 信息 的 保密 性 、 完 整 性 及 可 用 性 等 安全 属性 进行 科学 识别 和 评 
价 。 安 全 需求 是 系统 设计 建设. 使 用 评估 和 监管 的 标准 和 依据 ,安全 需求 的 提出 应 针对 风 
险 分 析 的 结果 ,参照 国家 标准 ,行业 标准 ,并 遵循 有 关 法 律 法规 及 政府 部 门 文件 。 安 全 策略 
是 为 发 布 .管理 及 保护 敏感 信息 资源 而 制定 的 法 律 、 法 规 及 措施 的 综合 ,是 对 信息 资源 使 用 
和 管理 规则 的 正式 描述 。 安 全 策略 制定 者 根据 对 信息 系统 风险 分 析 的 结果 ,结合 安全 目标 
及 安全 需求 ,提出 系统 的 安全 策略 。 安 全 体系 设计 一 般 要 求 设计 分 层 、 分 级 的 安全 保护 体 
系 。 安 全 工程 实施 是 在 设计 的 安全 体系 框架 的 基础 上 ,提出 相应 的 安全 服务 、 安 全 机 制 , 以 
及 所 要 采用 的 安全 技术 及 产品 。 安 全 工程 监理 需要 从 工程 的 规范 流程、 进度 等 方面 进行 监 
督 和 检查 。 

信息 安全 工程 具有 如 下 一 些 特性 。 


(1) 全 面 性 。 因 为 系统 安全 程度 取决 于 系统 最 薄弱 的 环节 ,因此 需要 全 面 考虑 。 

(2) 过 程 性 与 周期 性 。 信 息 安全 工程 是 不 断 往复 不 断 上 升 的 螺旋 模型 。 

(3) 动态 性 。 信 息 技 术 在 发 展 , 黑 客 水 平 也 在 提高 ,安全 策略 、 安 全 体系 、 安 全 技术 必须 
动态 地 调整 ,使 安全 系统 能 够 跟 上 实际 情况 的 变化 而 发 挥 效应 。 

(4) 层次 性 。 需 要 用 多 层次 的 安全 技术 方法 与 手段 ,分 层次 地 化 解 安 全 风险 。 

(5) 相对 性 。 安 全 是 相对 的 ,没有 绝对 安全 可 言 。 安 全 措施 应 该 与 保护 的 信息 与 网 络 
系统 的 价值 相称 。 实 施 信息 安全 工程 要 充分 权衡 风险 威胁 与 防御 措施 的 利弊 与 得 失 , 在 安 
全 级 别 与 投资 代价 之 间 应 取得 一 个 能 够 接受 的 平衡 点 。 

(6) 继承 性 。 在 计算 机 以 外 的 其 他 领域 积累 了 许多 从 系统 工程 角度 出 发 维护 信息 安全 
的 方法 与 经 验 , 在 情况 复杂 的 信息 时 代 , 信 息 安 全 内 涵 不 断 扩展 ,方法 与 经 验 不 断 继承 与 

信息 安全 工程 是 信息 安全 保障 的 重要 组 成 部 分 ,针对 目前 信息 化 建设 过 程 中 “ 重 技术 ， 
轻 管理 ”“ 重 应 用 , 轻 安全 ”“ 重 要素 , 轻 过 程 ”“ 先 建设 ,后 安全 ”等 问题 ,强调 信息 安全 建设 必 
须 同 信 息 化 建设 “同步 规划 、 同 步 实 施 ”, 解 决 信息 系统 生命 周期 的 “过 程 安全 ”问题 。 


1.3 信息 安全 体系 模型 


信息 安全 的 建设 应 该 立足 于 一 个 完整 的 安全 体系 。 信 息 安 全 体系 模型 是 信息 安全 体系 
建设 的 基础 ,能 够 为 信息 安全 的 解决 方案 和 工程 实施 提供 依据 和 参照 。 就 像 建造 一 座 大 厦 
需要 事先 设计 蓝图 一 样 ,进行 信息 安全 建设 ,也 需要 一 个 实施 依据 ,这 就 是 整体 上 考虑 的 信 
息 安 全 体系 。 只 有 在 整体 的 安全 体系 指导 下 ,信息 安全 建设 所 需 的 技术 .产品 .人员 和 操作 
等 才能 真正 发 挥 各 目的 效力 。 信 息 安 全 体系 结构 的 设计 并 没有 严格 统一 的 标准 ,不 同 领域 
与 不 同时 期 ,人 们 对 信息 安全 的 认识 都 不 尽 相 同 ,对 解决 信息 安全 问题 的 侧重 也 有 所 差别 。 
早期 人 们 对 信息 安全 体系 的 关注 焦点 是 以 防护 技术 为 主 的 静态 的 信息 安全 体系 。 随 着 人 们 
对 信息 安全 认识 的 深入 ,其 动态 性 和 过 程 性 的 发 展 要 求 愈 显 重 要 , 接 下 来 介绍 几 种 典型 的 信 
息 安 全 体系 模型 。 

1. PDR 模型 


首先 来 看 PDR 模型 ,PDR 即 Protection( 保 护 )、Detection( 检 测 )、 = 
Response( 响 应 ) 。PDR 模型 是 由 美国 国际 互联 网 安全 系统 公司 (ISS) 中 访 伯 扩 
提出 的 最 早 体现 主动 防御 思想 的 一 种 网 络 安全 模型 。PDR 模型 建立 \ J 
了 一 个 基于 时 间 的 可 证 明 的 安全 模型 ; 定义 了 防护 时 间 Pt( 黑 客 发 起 检测 
攻击 时 ,保护 系统 不 被 攻破 的 时 间 )、 检 测 时 间 Dt( 从 发 起 攻击 到 检测 
到 攻击 的 时 间 ) 和 响应 时 间 Rt( 从 发 现 攻击 到 做 出 有 效 响应 的 时 间 )， 
当 Pt 一 Dt 十 Rt 时 , 即 认为 系统 是 安全 的 ,也 就 是 说 ,如 果 在 黑客 攻破 系统 之 前 发 现 并 阻止 
了 黑客 的 行为 ,那么 系统 就 是 安全 的 。PDR 模型 是 一 个 理想 模型 ,因为 系统 的 Pt、Dt、Rt 根 
本 不 可 能 准确 定义 , 面 对 不 同 黑客 和 不 同 种 类 的 攻击 ,这 些 时 间 都 是 变化 的 ,其 实 还 是 不 能 
有 效 证 明 一 个 系统 是 否 安全 。PDR 模型 如 图 1-3 所 示 。 
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2. PPDR 模型 

PDR 模型 有 很 多 变 体 ,最 著名 的 是 PPDR 模型 。PPDR 模型 是 在 C2 
PDR 环 的 中 间 加 入 了 Policy( 策 略 ) ,也 即 PDR 循环 是 在 策略 的 控制 下 。“" 玉 保护 
工作 的 。PPDR 有 时 也 称 为 P2DR, 因 为 引入 了 策略 的 概念 ,使 得 整个 从“ 7 
模型 看 起 来 更 加 的 完整 ,并 且 和 管理 实现 了 衔接 。PPDR 为 安全 问题 检测 
的 解决 给 出 了 一 个 明确 的 方向 : 提高 系统 的 防护 时 间 Pt, 降 低 检 测 时 
间 Dt 和 啊 应 时 间 Rt。PPDR 模型 也 存在 一 个 明显 的 弱点 ,就 是 忽略 了 
内 在 的 变化 因素 ,如 人 员 的 流动 人员 的 素质 和 策略 贯彻 的 不 稳定 性 。PPDR 模型 如 图 1-4 
所 示 。 

3. PDRR 模型 


PDRR(Protection Detection Response Recovery) 模 型 是 一 个 比较 成 熟 的 网 络 安全 模 
型 ,该 模型 由 保护 、 检 测 、 啊 应 和 恢复 组 成 了 一 个 动态 的 信息 安全 周期 ,安全 政策 的 每 一 部 分 
包括 一 组 安全 单元 来 实现 一 定 的 安全 功能 。 安 全 策略 的 第 一 部 分 是 保护 ,根据 系统 已 知 的 
所 有 的 安全 问题 做 出 防御 措施 ,如 打 补 丁 . 访 问 控 制 、 数据 加 密 等 。 安 全 策略 的 第 二 部 分 就 
是 检测 ,攻击 者 如 果 穿 过 了 防御 系统 ,检测 系统 就 会 检测 出 来 。 这 个 安全 战线 的 功能 就 是 检 
测 出 入 侵 者 的 身份 ,包括 攻击 源 、 系 统 损 失 等 。 一 旦 检测 出 入 侵 , 响 应 系统 开始 啊 应 ,包括 事 
件 处 理 和 其 他 业务 。 安 全 策略 的 最 后 一 个 战线 是 系统 恢复 。 在 入 侵 事 件 发 生 后 ,把 系统 恢 
复 到 原来 的 状态 。 但 PDRR 模型 侧重 于 技术 ,对 诸如 管理 这 样 的 因素 并 没有 强调 。PDRR 
模型 如 图 1-5 所 示 。 
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4. IATF 模型 


当 信 息 安 全 发 展 到 信息 保障 阶段 之 后 ,人 们 越发 认为 ,构建 信息 安全 保障 体系 必须 从 安 
全 的 各 个 方面 进行 综合 考虑 ,只 有 将 技术 管理 .策略 .工程 过 程 等 方面 紧密 结合 ,安全 保障 
体系 才能 真正 成 为 指导 安全 方案 设计 和 建设 的 有 力 依据 。 信 息 保 障 技术 框架 (Information 
Assurance Technical Framework ,IATF) 就 是 在 这 种 背景 下 诞生 的 。IATF 是 由 美国 国家 
安全 局 组 织 专 家 编写 的 一 个 全 面 描 述 信息 安全 保障 体系 的 框架 , 它 提 出 了 信息 保障 时 代 信 
息 基 础 设施 的 全 套 安全 需求 。IATF 创造 性 的 地 方 在 于 它 首 次 提出 了 信息 保障 依赖 于 人 ， 
操作 和 技术 来 共同 实现 组 织 职 能 或 业务 运作 的 思想 ,对 技术 或 信息 基础 设施 的 管理 也 离 不 
开 这 3 个 要 素 。 尽 管 IATF 提出 了 以 人 为 核心 的 思想 ,但 整个 体系 的 阐述 还 是 以 技术 为 侧 
重 的 ,对 于 安全 管理 的 内 容 则 很 少 涉及 。 它 最 大 的 缺陷 在 于 缺乏 流程 化 的 管理 要 求 和 对 业 
务 相 关 性 在 信息 安全 管理 体系 中 的 体现 。IATF 保障 技术 框架 如 图 1-6 所 示 。 


三 保卫 、 一 支撑 


保卫 网 络 基础 设施 | | 。 全 全 和 | | 保卫 局 域 计算 环境 | | 支撑 基础 设施 
外 部 连接 


虚拟 专用 网 生物 识别 公 钥 基 础 设施 


远程 访问 入 侵 检测 
多 域名 解决 移动 代码 
移动 代码 安全 消息 传递 
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5. WPDRRC 模型 

最 后 来 看 由 我 国 863 信息 安全 专家 组 在 PDR 模 
型 P2DR 模型 及 PDRR 模型 的 基础 上 提出 的 适合 我 
国 国情 的 WPDRRC 模型 ,其 在 PDRR 模型 的 前 后 增 
加 了 预警 (Warning) 和 反击 (Counterattack ) 功能 。 
WPDRRC 模型 有 6 个 环节 和 3 大 要 素 。6 个 环节 包括 
预警 .保护 检测、. 啊 应 .恢复 和 反击 ,它们 具有 较 强 的 
时 序 性 和 动态 性 ,能 够 较 好 地 反映 出 信息 系统 安全 保 
障 体 系 的 预警 能 力 、 保 护 能 力 、 检 测 能 力 、 啊 应 能 力 、 恢 
复 能 力 和 反击 能 力 。3 大 要 素 包 括 人 员 、 策 略 和 技术 ， 17 WEIDRRC 术 至 
人 员 是 核心 ,策略 是 桥梁 ,技术 是 保证 ,落实 在 
WPDRRC 6 个 环节 的 各 个 方面 ,将 安全 策略 变 为 安全 现实 。WPDRRC 模型 如 图 1-7 所 示 。 

WPDRRC 模型 运用 源 于 人 管理 ,技术 等 因素 所 形成 的 预警 能 力 \、 保 护 能 力 、 检 测 能 
力 、 响 应 能 力 ,恢复 能 力 和 反击 能 力 ,在 信息 和 系统 生命 周期 全 过 程 的 各 个 状态 下 ,保证 信息 
内 容 、 计 算 环 境 、 边 界 与 连接 、 网 络 基 础 设施 的 真实 性 、 可 用 性 \ 完 整 性 ,保密 性 、 可 控 性 、 不 可 
否认 性 等 安全 属性 ,从 而 保障 应 用 服务 的 效率 和 效益 ,促进 信息 化 的 可 持续 健康 发 展 。 

以 往 的 一 些 经 验 教 训 表 明 ,不 从 体系 结构 角度 考虑 信息 系统 的 安全 性 .不 考虑 建立 安全 
标准 体系 ,往往 会 造成 整体 功能 不 完备 ,存在 薄弱 环节 ,部 件 功能 重复 ,效率 低下 ,评估 困难 ， 
不 适应 需求 和 技术 变化 ,相互 操作 困难 等 问题 。 信 息 安全 体系 模型 的 发 展 ,一 方面 是 对 信息 
安全 理解 的 逐渐 丰富 , 另 一 方面 也 反映 出 安全 技术 与 产品 种 类 的 日 渐 丰 富 。 和 良好 的 信息 安 
全 体系 模型 在 信息 系统 安全 建设 中 起 着 重要 的 指导 作用 。 通 过 模型 分 析 , 可 以 让 人 们 在 处 
理 信息 安全 问题 时 全 面 考虑 各 方面 的 因素 ,避免 由 于 遗漏 一 个 方面 而 造成 * 短 板 ”。 
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信息 安全 工程 概念 提出 以 来 ,国外 已 经 在 安全 体系 模型 的 建立 及 其 形式 化 描述 与 分 析 ， 
安全 策略 和 机 制 的 研究 、 检 验 以 及 评估 系统 安全 性 的 科学 方法 与 准则 的 建立 等 方面 开展 了 
广泛 的 研究 ,并 推出 了 众多 信息 安全 解决 方案 和 产品 。 信 息 安全 工程 的 发 展 ,方兴未艾 ,有 


着 极为 广阔 的 研究 和 实践 领域 ,人 们 期 望 它 能 减少 信息 安全 相关 事故 ,为 创造 一 个 安全 的 工 
作 环 境 做 出 更 大 的 贡献 。 


站 十 


1. 当 无 法 使 用 信息 系统 或 信息 ,尤其 是 丧失 保密 性 、 完 整 性 .可 用 性 和 不 可 否认 性 时 ， 
可 能 会 市 来 哪些 问题 ? 


2. 什么 是 信息 安全 工程 ? 为 什么 需要 信息 安全 工程 ? 


3. 信息 安全 体系 模型 是 什么 ? 试 比 较 不 同 的 信息 安全 体系 模型 。 
4. 谈 谈 你 对 信息 安全 工程 的 发 展 的 看 法 。 


第 2 章 信息 安全 工程 基础 


本 章 学 习 目 标 : 

。 了 解 并 掌握 系统 工程 相关 理论 基础 。 
。 了 解 并 掌握 质量 管理 相关 理论 基础 。 
。 了 解 并 掌握 项 目 管理 相关 理论 基础 。 


2.1 系统 工程 基础 


2.1.1 系统 的 定义 、 特 征 及 类 型 


“系统 ”一 词 的 出 现 由 来 已 入, 最 早出 现 于 古 希 脂 莫 克利 特 所 写 的 《宇宙 大 系统 ) 一 书 中 ， 
原意 指 事物 中 的 共性 部 分 和 每 一 事物 所 占据 的 位 置 , 即 部 分 组 成 整体 的 意思 。 但 直到 20 世 
纪 40 年 代 以 后 ,“ 系 统 ” 一 词 才 开始 真正 得 到 应 用 ,并 逐渐 趋 于 完善 和 统一 。 在 早期 社会 ,人 
类 对 系统 的 认识 比较 肤浅 ,普遍 认为 系统 是 彼此 孤立 的 、 割 裂 的 、 互 不 联系 的 。 随 着 科学 技 
术 的 发 展 和 长 期 的 社会 实践 ,人 类 逐渐 认识 到 系统 的 含义 。 系 统 工程 的 研究 对 象 , 在 人 们 的 
日 常生 活 中 无 处 不 在 。 

(1) 银河 系 ,太阳 系 , 地 球 。 

(2) 长 江 流 域 ,黄土 高 原 , 珠 江 三 角 洲 。 

(3) 人 类 ,中 华 民族 ,国防 教育 ,军事 通信 和 网。 

(4) 装备 订货 系统 ,航天 发 射 系 统 。 

(5) 三 峡 工程 ,西部 大 开发 ,振兴 东北 ,“ 神 舟 ” 七 号 ,抗击 SARS ,举办 奥运 会 等 。 

由 于 研究 领域 .应 用 对 象 和 解决 问题 的 不 同 ,对 系统 概念 的 定义 也 不 尽 相 同 , 尚 未 达到 
统一 。 究 竟 什 么 是 系统 呢 ? 它 是 指 逻 辑 上 空 无 一 物 的 概念 ,还 是 可 以 应 用 到 工程 领域 的 管 
理 方 法 ? 为 了 避免 概念 的 混 消 所 带 给 系统 研究 的 困难 ,下 面 列举 了 国内 外 一 些 著名 学 者 或 
机 构 的 看 法 和 观点 ,帮助 谈 者 理解 系统 的 含义 。 

一 般 系统 论 的 创始 人 贝塔 妆 菲 认为 "系统 是 相互 联系 .相互 作用 的 诸 元 素 的 综合 
他 指出 对 于 系统 不 能 扳 立 地 研究 部 分 和 过 程 ,还 必须 研究 各 部 分 之 间 的 相互 作用 ,把 各 元 素 
组 合 起 来 作为 一 个 整体 来 考虑 。 

美国 《 韦 氏 大 辞典 》 解 释 系 统 为 “有 组 织 的 或 是 组 织 化 了 的 整体 ,被 组 合 的 整体 所 形成 的 
各 种 概念 和 原理 的 综合 ,以 有 规则 地 相互 作用 、 相 互 依赖 的 形式 组 成 的 诸 要 素 的 集合 ”。 

日 本 工业 标准 给 出 系统 的 定义 是 “许多 组 成 要 素 保持 有 机 的 秩序 ,向 同一 目标 的 行动 的 
集合 体 ”。 

苏联 学 者 乌 约莫 夫 关 于 系统 的 定义 是 “可 以 把 系统 定义 为 客体 的 集合 ,在 这 个 集合 中 实 
现 带 有 固定 性 质 的 关系 ”。 

我 国 着 名 科学 家 、 系 统 工程 的 倡导 者 钱学森 教授 认为 “系统 是 由 相互 作用 和 相互 依赖 的 
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若干 组 成 部 分 结合 成 的 .具有 特定 功能 的 有 机 整体 ”。 

上 述 各 位 学 者 可 能 对 系统 的 定义 略 有 不 同 , 但 是 其 内 涵 和 核心 思想 还 是 一 致 的 ,他 们 共 
同 指出 了 系统 应 该 符合 的 基本 条 件 。 概 括 起 来 ,所 谓 系统 就 是 相互 联系 相互 作用 的 若干 要 
素 按照 一 定 规律 合成 的 具有 特定 功能 的 有 机 整体 。 

根据 系统 的 定义 ,可 以 总 结 出 系统 的 一 些 基 本 特征 。 

1. 整体 性 


系统 是 由 两 个 或 两 个 以 上 的 要 素 组 成 的 整体 ,各 个 要 素 根 据 规 定 的 任务 完成 既定 目标 ， 
通过 要 素 之 间 的 协调 表现 出 系统 的 整体 功能 。 系 统 的 整体 性 表述 为 系统 整体 功能 不 等 于 各 
组 成 要 素 之 和 , 即 “1 十 1 了 关 2”, 系 统 的 整体 功能 不 是 各 组 成 要 素 的 单一 功能 的 琶 加 或 简单 的 
凑合 ,而 是 系统 整体 表现 出 各 组 成 要 素 所 没有 的 新 功能 。 

“ 木 桶 原理 ? 正 是 运用 了 系统 整体 性 的 原理 , 它 的 盛 水 量 取决 于 最 短 木 板 的 长 度 。 研 究 
任何 事物 都 必须 以 事物 整体 为 基础 ,脱离 了 整体 ,要 素 的 功能 和 要 素 之 间 的 相互 作用 便 失 去 
了 原 有 的 意义 ,从 而 也 无 法 得 出 整体 性 的 结论 。 例 如 ,在 装配 汽车 时 ,如 果 不 对 汽车 零件 进 
行 组装 ,那么 它 只 是 一 堆 零 散 的 集合 ,不 具备 任何 功能 , 若 将 汽车 零件 根据 需要 组 装 好 , 它 便 
可 以 发 挥 出 汽车 所 特有 的 功能 ,零件 的 功能 也 通过 汽车 整体 发 挥 了 出 来 。 

2. 关联 性 


系统 内 部 的 各 组 成 要 素 之 间或 系统 与 部 分 之 间 是 相互 作用 、 相 互联 系 的 , 某 一 要 素 的 变 
化 会 引起 其 他 要 素 的 变化 并 且 会 影响 系统 功能 的 效果 。 例 如 ,为 了 保护 草原 植被 ,政府 下 令 
茶 止 捕杀 野 狼 ,这 是 因为 狼 捕杀 症 . 野 例 等 食 草 性 动物 ,使 其 数量 减少 ,起 到 保护 植被 的 作 
用 。 所 谓 的 " 牵 一 发 而 动 全 身 ? 正 是 运用 系统 关联 性 的 原理 ,相关 性 说 明了 要 素 之 间 相 互 关 
联 的 特定 关系 ,以 及 这 些 关系 之 间 的 演变 规律 。 

3. 目的 性 


系统 都 是 为 了 实现 某 一 特定 目标 而 发 挥 其 功能 的 ,没有 目标 的 系统 不 能 作为 系统 工程 
的 研究 对 象 。 为 了 实现 既定 的 目标 ,必须 赋予 系统 特有 的 功能 ,这 也 是 系统 之 间 区 分 的 重要 
标志 。 例 如 ,汽车 的 设计 是 帮助 人 们 进行 日 常 的 出 行 , 计 算 机 的 发 明 是 帮助 人 们 进行 大 规模 
数据 的 计算 ,电灯 的 发 明 是 为 了 解决 照明 问题 ,它们 之 间 由 于 各 自 功能 的 不 同 也 存在 差异 。 
在 设计 和 分 析 一 个 系统 时 ,必须 弄 清楚 目的 ,否则 无 法 构成 一 个 良好 、 有 序 的 现实 系统 。 例 
如 ,设计 钟表 的 目的 就 是 满足 人 们 对 计时 功能 的 需要 ,如 果 人 们 对 钟表 的 设计 目的 不 清晰 ， 
则 钟表 的 设计 也 就 毫 无 意义 。 

4. 层次 性 

一 般 系统 都 具有 明显 的 一 定 的 层次 结构 。 系 统 作 为 一 个 相互 作用 的 诸 要 系 总 体 来 看 ， 
它 可 以 分 解 为 若干 子 系统 ,而 子 系统 又 可 以 分 为 亚 子 系统 ,以 臻 最终 分 解 为 系统 要 素 ,这 样 
就 构成 了 系统 空间 结构 的 特定 形式 。 系 统 的 层次 结构 表明 了 不 同 层次 子 系统 或 要 素 之 间 的 
从 属 关 系 或 相互 作用 的 关系 。 例 如 一 个 公司 就 是 一 个 层次 比较 明显 的 系统 。 它 由 子 公 司 或 
二 级 厂 车间、 工段 、 班 组 ,以 及 相应 的 职能 部 门 构成 。 各 层次 的 子 系统 相互 联系 ,相互 作用 ， 
以 其 特有 的 功能 为 统一 的 目标 而 相互 协调 运行 。 

5. 环境 适应 性 

任何 一 个 系统 都 处 于 一 定 的 物质 环境 之 中 ,系统 必须 与 外 部 环境 进行 物质 .能 量 和 信息 
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的 交换 ,外 部 环境 的 变化 也 会 引起 系统 内 部 因素 的 变化 ,脱离 物质 环境 的 系统 不 具有 实际 意 
义 。 因 此 ,系统 必须 具有 适应 外 界 环境 变化 的 能 力 才能 经 稼 以 最 佳 的 状态 去 实现 系统 的 既 
定 目 标 。 例 如 ,一 个 企业 要 在 激烈 的 市 场 现 争 中 处 于 不 败 地 位 ,就 必须 及 时 地 了 解 市 场 动 
态 、 欧 争 对 手 的 经 营 动 器 、 产 品 销路 .原材料 供应 和 国家 宏观 政策 等 ,企业 不 能 适应 这 些 变 
化 ,必然 被 市 场 淘 汰 ,诺基亚 的 手机 产业 就 是 一 个 很 好 的 证 明 ,由 于 对 市 场 缺 乏 充分 的 考虑 ， 
没有 及 时 做 出 应 变 决 策 , 导 致 它 的 手机 产业 无 法 立足 。 

自然 界 和 人 类 社会 普遍 存在 各 种 形态 不 同形 态 的 系统 。 从 不 同 的 角度 ,系统 可 以 有 各 
种 不 同 的 种 类 。 

1) 自然 系统 和 人 造 系 统 

自然 系统 是 由 自然 物质 组 成 的 天 然 系 统 , 它 由 有 自然 现象 发 展 而 来 ,未 经 人 类 加 工 和 制 
造 ,例如 和 森林 系统 .河流 系统 、 山脉 系统 海洋 系统 、 人 类 社会 系统 等 。 人 造 系 统 是 为 了 满足 
人 类 的 某 些 需求 而 有 计划 、 有 目的 地 设计 和 改造 的 系统 ,例如 立体 成 像 系 统 、 物 流 系统 、 交 通 
系统 、 医 疗 系统 .教育 系统 等 。 

实际 上 ,大 多 数 系统 都 是 自然 系统 和 人 造 系 统 复合 而 成 的 复合 系统 ,例如 水 利 系 统 , 它 
是 在 认识 自然 规律 的 基础 上 ,通过 人 工作 用 形成 的 复合 系统 。 

2) 实体 系统 和 概念 系统 

实体 系统 是 由 矿物 .生物 .机械能 量 和 人 等 实体 物质 组 成 的 系统 , 它 以 研究 硬件 为 主 ， 
属于 便 科学 ,如 机 械 加 工 \、 矿 物资 源 、 电 力 网 络 系统 等 。 概 念 系统 是 由 概念 ,原理 、 方 法、 制度 
等 非 物 质 实体 组 成 的 系统 , 它 以 研究 软件 为 主 , 属 于 软 科 学 ,如 法 律 法 规 系 统 、 教 育 系 统 、 军 
事 指 挥 系统 等 。 

在 实际 生活 中 ,实体 系统 和 概念 系统 在 多 数 情 况 下 是 相互 依赖 不 可 分 割 的 ,实体 系统 
是 概念 系统 的 物质 基础 ,概念 系统 为 实体 系统 提供 了 指导 和 服务 ,如 服务 系统 , 既 包 括 了 提 
供 服务 的 物质 实体 ,又 包括 了 服务 方法 概念 子 系统 。 

3) 静态 系统 和 动态 系统 

静态 系统 是 系统 的 状态 变量 不 随时 间 推 移 而 变化 的 系统 ,而 动态 系统 是 系统 的 状态 变 
量 随时 间 推 移 而 不 断 发 生变 化 的 系统 。 完 全 静止 的 系统 是 不 存在 的 ,模型 的 变量 总 是 随时 
间 推 移 而 变化 ,静态 系统 可 以 看 作 动 态 系 统 的 极限 状态 , 即 处 于 稳定 状态 ,例如 人 的 体温 、 大 
气压 .运行 的 仪 颖 设备 等 。 

4) 开放 系统 和 封闭 系统 

开放 系统 是 指 与 外 界 环 境 发 生 联 系 的 系统 , 即 系统 与 环境 之 间 发 生物 质 、 能 量 \ 信 息 的 
交换 , 它 具 有 自 适 应 和 自 调 节 的 功能 ,例如 一 个 工厂 一 个 学 校 就 是 开放 系统 。 反 之 ,与 外 部 
环境 隔绝 或 与 外 部 环境 无 关 的 系统 称 为 封闭 系统 ,例如 自给 自足 的 农村 、 完 全 封闭 的 容 费 
等 。 但 是 ,世界 上 不 存在 绝对 意义 的 封闭 系统 ,任何 系统 都 与 环境 有 或 多 或 少 的 联系 ,只 是 
有 时 把 相对 独立 的 系统 看 作 封 闭 系 统 。 

5) 确定 性 系统 和 非 确定 性 系统 

确定 性 系统 的 状态 是 确定 的 ,只 要 确定 了 系统 的 结构 和 目前 的 状态 ,就 可 以 确定 将 来 一 
切 时 刻 系 统 的 状态 。 非 确定 性 系统 指 的 是 受 非 确 定 因素 影响 的 系统 ,例如 随机 非 确 定性 系 
统 、 模 糊 非 确 定性 系统 等 。 
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2.1.2 系统 工程 的 概念 和 特点 


“系统 工程 > 这 个 专用 名 词 最 早 在 20 世纪 40 年 代 由 美国 贝尔 实验 室 提 出 ,经 过 多 年 的 
实践 ,发 展 成 为 一 门 组 织 管理 技术 。 系 统 工 程 的 思想 和 方法 可 以 追溯 到 我 国 古代 ,例如 ,我 
国 四 川 的 都 江 卉 ,是 世界 迄今 为 止 年 代 最 久 、 唯 一 留存 的 以 无 坝 引 水 为 特征 的 宏大 水 利 
工程 。 

都 江 卉 的 主体 工程 包括 鱼 嘴 分 水 堤 、 飞 沙 卉 溢洪道 和 宝 瓶 口 进 水 口 三 部 分 ,科学 地 解决 
了 江水 自动 分 流 、 自 动 排 沙 、 控 制 进 水 流量 等 问题 ,消除 了 水 患 , 使 川西 平原 成 为 “天 府 之 
国 ”。 都 江 卉 的 三 个 子 工 程 融 为 一 体 ,巧妙 的 配合 实现 了 彻底 排 沙 、 最 佳 水 量 的 自动 调节 。 
在 一 般 人 看 来 ,都江堰 的 三 大 主体 工程 可 能 简单 平常 ,但 是 它 却 列 含 着 系统 工程 的 思想 和 方 
法 ,整个 工程 的 规划 .设计 和 施工 都 十 分 合理 。 通 过 鱼 嘴 分 水 、 宝 瓶 口 引 水 `\ 飞 沙 堰 汶 潜 , 形 
成 了 一 个 完整 的 “引水 以 灌 田 ,分洪 以 减灾 ?的 分 洪 灌 溉 系统 。 

系统 工程 是 一 门 处 于 发 展 阶 段 的 新 兴学 科 , 它 路 越 了 诸多 学 科 , 并 与 之 相互 渗透 、 相 互 
影响 ,在 各 个 领域 也 都 有 涉及 ,应 用 范围 十 分 广泛 ,这 也 造成 人 们 对 它 的 认识 不 一 致 。 因 此 ， 
要 给 出 一 个 完善 而 确切 的 定义 比较 困难 ,下 面 列 举 一 些 具有 代表 性 的 定义 。 

美国 的 《科学 技术 辞 由 ?对 系统 工程 解释 为 “系统 工程 是 研究 复杂 系统 设计 的 科学 ,该 系 
统 巾 许多 密切 联系 的 元 素 所 组 成 。 设 计 该 复杂 系统 时 ,应 有 明确 的 预定 功能 及 目标 ,并 协调 
各 个 元 素 之 间 及 元 素 和 整体 之 间 的 有 机 联系 ,以 使 系统 能 从 总 体 上 达到 最 优 目标 。 在 设计 
系统 时 ,要 同时 考虑 到 参与 系统 活动 的 人 的 因素 及 其 作用 。?” 

美国 著名 学 者 HH. 切 斯 纳 指 出 “系统 工程 认为 虽然 每 个 系统 都 是 由 许多 不 同 的 特殊 功 
能 部 分 所 组 成 ,而 这 些 功能 部 分 之 间 又 存在 着 相互 关系 ,但 是 每 一 个 系统 都 是 完整 的 整体 ， 
每 一 个 系统 都 要 求 有 一 个 或 若干 个 目标 。 系 统 工程 则 是 按照 各 个 目标 进行 权衡 ,全 面 求 得 
最 优 解 (或 满意 解 ) 的 方法 ,并 使 各 组 成 部 分 最 大 限度 地 互相 适应 。” 

日 本 学 者 三 浦 武 雄 指出 “系统 工程 与 其 他 工程 学 不 同 之 处 在 于 它 是 跨越 许多 学 科 的 科 
学 ,而 且 是 填补 这 些 学 科 边 界 空 月 的 一 种 边缘 学 科 。 因 为 系统 工程 的 目的 是 研制 一 个 系统 ， 
而 系统 不 仅 涉及 工程 学 的 领域 ,还 涉及 社会 、 经 济 和 政治 等 领域 ,所 以 为 了 适当 地 解决 这 些 
领域 的 问题 ,除了 需要 某 些 纵向 技术 以 外 ,还 要 有 一 种 技术 从 横向 把 它们 组 织 起 来 ,这 种 横 
回 技术 就 是 系统 工程 。” 

我 国 闭 名 科学 家 钱学森 教授 指出 “系统 工程 是 组 织 管理 系统 的 规划 研究、 设计、 制造 、 
试验 和 使 用 的 科学 方法 ,是 一 种 对 所 有 系统 都 具有 普遍 意义 的 方法 。” 

综 上 所 述 , 系 统 工程 从 需求 出 发 ,为 了 更 好 地 达到 系统 的 目标 ,对 系统 组 成 要 素 .组织 结 
构 \ 信 息 流 、 控 制 机 构 等 进行 分 析 人 研究 的 科学 方法 。 它 运用 组 织 管理 技术 ,使 系统 的 整体 与 
局 部 之 间 的 关系 协调 和 相互 配合 ,实现 总 体 最 优化 运行 。 

从 以 上 列举 的 定义 中 可 以 看 出 系统 工程 有 以 下 几 个 特点 。 

(1) 系统 工程 以 规模 庞大 、 结 构 复 杂 的 系统 为 研究 对 象 。 

(2) 系统 工程 跨越 诸多 学 科 ,涉及 多 个 领域 的 知识 ,是 一 门 基于 多 学 科 理 论 的 新 兴 边 缘 
学 科 。 

(3) 在 处 理 规模 庞大 、 结 构 复 杂 的 系统 时 ,需要 采用 定性 和 定量 分 析 相 结合 的 方法 。 
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2.1.3 系统 工程 的 形成 与 发 展 


系统 工程 起 源 于 20 世纪 40 年 代 , 到 60 年 代 形 成 体系 ,大 致 经 历 萌 芽 、 发 展 和 初步 成 熟 
三 个 时 期 。 

1. 萌芽 时 期 

第 一 次 世界 大 战 期 间 ,出 现 了 应 用 于 军事 运筹 学 的 和 骏 形 。20 世纪 初 ,美国 “管理 之 父 ” 
泰勒 创造 了 科学 管理 方法 体系 ,研究 了 合理 工序 和 工人 活动 的 关系 ,探索 了 管理 的 规律 ,到 
20 年 代 逐 步 转变 为 工业 工程 ,主要 研究 生产 在 时 间 和 空间 上 的 管理 技术 。20 世纪 40 年 代 ， 
美国 贝尔 实验 室 的 E. C. 英利 纳 和 丹麦 哥本哈根 电话 公司 的 A.K. 爱 尔 半 提出 了 ”系统 工 
程 ? 这 一 专用 名 词 ,他 们 在 研制 电话 自动 交换 机 时 ,意识 到 不 能 只 注意 电话 机 和 交换 台 设 备 
技术 的 人 研究 ,还 需 从 通信 和 网络 的 总 体 上 进行 研究 。 他 们 把 研制 工作 分 为 规划 、 人 研究 、 开 发 、 应 
用 和 通用 工程 五 个 阶段 ,此 后 又 提出 了 排队 论 原理 ,并 应 用 到 电话 通信 网络 系统 中 ,推动 了 
电话 事业 的 飞速 发 展 。 

第 二 次 世界 大 战 期 间 ,由 于 战争 的 需要 ,车 事 运筹 学 得 到 快速 发 展 。 运 筹 学 的 发 展 为 早 
期 系统 工程 的 萌芽 奠定 了 理论 基础 。1940 一 1945 年 ,美国 在 研制 原子 弹 的 “曼哈顿 ?计划 
中 ,运用 了 系统 工程 的 方法 进行 协调 ,在 较 短 的 时 间 内 取得 了 显著 成 效 。 后 来 ,这 种 理论 也 
被 推广 到 经 济 管理 领域 和 工业 生产 领域 ,扩大 了 系统 工程 的 应 用 范围 。1945 年 ,美国 建立 
了 兰 德 公司 ,结合 数学 方法 和 工程 方法 开发 出 了 “系统 分 析 ” 方 法 ,在 美国 国家 发 展 战略 、 国 
防 系统 开发 .宇宙 空间 技术 以 及 经 济 建设 领域 的 重大 决策 中 ,发 挥 了 重要 作用 。20 世纪 
40 年 代 后 期 , 随 着 信息 论 .控制 论 的 诞生 和 广泛 应 用 ,以 及 世界 第 一 台电 子 计 算 机 的 发 明 ， 
系统 工程 的 稚 形 开始 出 现 。 

2. 发 展 时 期 

系统 工程 教育 开始 于 20 世纪 50 年 代 , 美 国 理工 学 院 开设 了 “系统 工程 ”的 相关 专业 课 ， 
培养 学 生 运 用 系统 工程 方法 对 系统 进行 管理 ,创造 性 地 解决 问题 。1957 年 ,美国 的 古 德 和 
麦克 霍 尔 合作 出 版 了 第 一 本 以 "系统 工程 ”命名 的 著作 一 (系统 工程 》。 此 后 “系统 工程 ” 
作为 专业 术语 沿用 至 今 。1958 年 ,美国 海军 特别 计划 局 在 执行 "北极星 ?导弹 核潜艇 计划 中 
发 展 了 控制 工程 进度 的 新 方法 一 一 计划 评审 技术 (Performance Evaluation Review 
Technique,PERT) ,采用 这 种 技术 使 研制 任务 提前 两 年 完成 ,系统 工程 学 也 被 引进 到 管理 
领域 。1962 年 ,A.D. 起 尔 编写 的 《系统 工程 方法 论 》 前 述 了 作者 长 期 从 事 通信 系统 工程 的 
成 果 ,内 容 涉及 系统 环境 .系统 要 素 、 系 统 理论 .系统 技术 、 系统 数 学 等 方面 。 同 年 ,美国 国防 
部 长 麦克 马 拉 提 出 了 PPBS 系统 ( 即 规划 、 计划、 预算 系统 ) ,该 系统 有 效 地 解决 了 海陆 空 三 
车 的 资金 预算 问题 ,在 节约 经 费 方 面 取 得 了 巨大 的 成 就 。1963 年 ,美国 亚利桑那 大 学 成 立 
了 系统 工程 系 , 其 他 一 些 院 校 也 纷纷 设立 了 系统 工程 的 课程 或 研究 中 心 。1964 年 起 ,美国 
每 年 都 举行 系统 工程 年 会 ,出 版 刊物 ,并 设立 了 工程 学 位 。 这 时 ,系统 工程 已 开始 成 为 一 门 
独立 的 学 科 。 

3. 初步 成 熟 时 期 

1965 年 ,麦克 和 霍 尔 编 写 了 《系统 工程 手册 》, 书 中 包含 了 比较 完整 的 系统 理论 、 系 统 方 
法 、 系 统 环境 、 系 统 部 件 、 系 统 技术 以 及 一 些 数 学 基础 等 内 容 。 该 书 的 编写 标志 着 系统 工程 
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初步 形成 了 一 个 较为 完整 的 理论 体系 。 

1969 年 ,“ 阿 波 罗 ” 宇 宙 飞 船 登 月 计划 成 功 。“ 阿 波 罗 ” 计 划 是 一 项 举世 有 瞩目 的 复杂 庞大 
的 工程 计划 , 它 的 全 部 任务 由 地 面 、 空 间 和 登 月 三 个 部 分 组 成 。“ 阿 波 罗 ” 飞 船 和 “土星 五 号 ” 
运载 火箭 ,由 860 多 万 个 零件 构成 ,有 众多 的 子 系统 , 各 个 子 系统 之 间 纵 横 交 错 , 相 互联 系 ， 
相互 制约 。 在 规划 和 实施 这 项 计划 时 ,由 于 运用 了 系统 工程 学 的 理论 和 方法 ,提前 两 年 将 三 
名 宇航 员 送 到 月 球 。“ 阿 波 罗 ” 登 月 计划 的 实施 ,是 典型 运用 系统 工程 这 种 组 织 管理 技术 取 
得 显著 效果 的 典型 事例 ,这 也 标志 着 系统 工程 学 可 以 结合 工业 生产 使 用 ,并 取得 辉 焊 的 
成 就 。 

进入 20 世纪 70 年 代 ,无 论 从 理论 来 讲 还 是 从 技术 方面 来 看 ,系统 工程 都 日 趋 完 善 和 成 
熟 ,系统 工程 的 应 用 领域 也 在 继续 癌 社 会 、 经 济 、. 生 态 等 方面 扩展 ,打破 了 传统 的 系统 工程 的 
概念 ,真正 推广 到 所 有 和 领域。 目前 ,多 所 高 校 纷 纷 开设 了 “系统 工程 ”课程 ,培养 了 大 量 的 系 
统 工 程 师 .系统 分 析 师 和 系统 科学 家 。 系 统 工程 已 发 展 到 解决 复杂 系统 的 最 优化 阶段 , 它 几 
乎 涉及 各 个 领域 ,从 社会 科学 到 目 然 科学 ,从 经 济 基础 到 上 层 建 筑 , 从 城市 规划 到 生态 环境 ， 
从 生物 科学 到 军事 科学 ,无 不 涉及 系统 工程 ,无 不 需要 系统 工程 。 


2.1.4 系统 工程 的 方法 与 步骤 


在 系统 工程 的 长 期 实践 中 ,逐渐 形成 了 一 套 科学 的 工作 方法 和 步骤 。 由 于 系统 工程 路 
越 诸 多 学 科 ,涉及 多 个 领域 ,每 个 学 科 又 有 目 身 的 特点 和 方法 论 ,要 在 不 同 的 系统 对 象 上 和 套 
用 同一 种 模式 显然 是 不 现实 的 。 因 此 ,系统 工程 的 方法 与 步骤 只 是 处 理 问 题 的 一 般 方法 与 
步骤 ,是 一 种 基于 原则 的 系统 思考 过 程 。 按 照 这 个 方法 与 步骤 ,对 一 般 系 统 很 容易 了 解 ,对 
于 结构 复杂 的 系统 ,也 不 会 显得 无 从 下 手 。 在 实际 应 用 过 程 中 ,系统 一 般 遵 循 这 一 原则 ,但 
是 由 于 研究 对 象 的 不 同 , 所 采用 的 方法 和 步骤 也 会 不 同 , 所 以 对 于 具体 问题 ,只 能 根据 系统 
思想 的 基本 原则 .立场 和 观点 ,灵活 地 运用 。 

系统 工程 思考 问题 和 处 理 问题 的 方法 ,一 般 称 为 系统 方法 。 系 统 工 程 的 方法 体系 是 不 
同方 法 的 有 机 组 合 , 具 备 了 各 种 方法 的 特点 。 这 种 方法 的 实质 是 运用 系统 思想 和 各 种 数学 
方法 以 及 电子 计算 机 工具 来 实现 系统 的 模型 化 和 最 优化 ,以 此 进行 系统 分 析 和 系统 设计 。 
为 了 更 好 地 处 理 系统 工程 的 问题 ,不仅 需 要 在 了 解 各 学 科 的 基础 上 学 习 各 种 系统 工程 的 基 
本 方法 ,还 要 在 实际 应 用 中 擎 握 这 些 方法 与 步骤 ,获取 经 验 。 

20 世纪 60 年 代 , 许 多 学 者 对 系统 工程 的 方法 进行 了 积累 和 总 结 , 其 中 ,具有 一 定 代 表 
性 的 方法 主要 是 美国 贝尔 实验 室 的 直 尔 所 提出 的 霍 尔 三 维 结构 ,如 图 2-1 所 示 。 和 堆 尔 将 系 
统 工程 的 工作 步骤 和 阶段 、 各 阶段 的 思维 过 程 、 各 个 思维 过 程 涉及 的 知识 概括 为 时 间 维 、 逻 
辑 维 和 知识 维 。 

三 维 结构 的 时 间 维 表示 系统 工作 的 各 个 阶段 ,一 般 分 为 7 个 阶段 。 

(1) 规划 阶段 。 对 系统 进行 调研 ,明确 系统 目标 ,提出 规划 。 

(2) 拟订 方案 。 根 据 具体 的 问题 提出 切实 可 行 的 计划 方案 。 

(3) 人 研制 阶段 。 做 出 研制 方案 及 生产 计划 。 

(4) 生产 阶段 。 按 计划 生产 出 系统 零 部 件 以 及 整个 系统 ,提出 安装 计划 。 

(5) 安装 阶段 。 按 照 安装 计划 安装 系统 ,并 完成 系统 的 运行 计划 。 

(6) 运行 阶段 。 将 系统 按照 预定 的 功能 运行 。 
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(7) 更 新 阶段 。 改 进 旧 系统 或 取消 新 系统 ,使 之 更 加 有 效 地 工作 。 

三 维 结构 的 逻辑 维 表示 时 间 维 的 每 一 个 阶段 内 所 要 进行 的 工作 和 遵循 的 思维 过 程 , 分 
为 7 个 阶段 。 

(1) 明确 问题 。 弄 清楚 研究 的 是 什么 性 质 的 问题 ,以 便 设 定 解决 方案 。 

(2) 系统 设计 。 提 出 所 解决 问题 希望 达到 的 目标 ,并 制定 评价 系统 功能 的 指标 体系 。 

(3) 系统 综合 。 提 出 并 形成 系统 的 可 行 方案 ,方案 明确 系统 的 参数 和 结构 。 

(4) 系统 分 析 。 建 立 模 型 ,将 这 些 方案 与 评价 指标 联系 起 来 推断 出 各 种 可 能 性 结构 。 

(5) 方案 优化 。 基 于 系统 模型 ,优化 方案 参数 , 尽 可 能 满足 系统 的 评价 指标 最 优 。 

(6) 做 出 决策 。 根 据 方案 优化 的 结果 , 选 出 最 佳 方案 。 

(7) 实施 计划 。 根 据 决策 的 结果 ,拟订 具体 的 实施 计划 ,并 组 织 实施 。 

三 维 结构 的 知识 维 表示 逻辑 维 的 每 个 思维 过 程 所 需要 的 各 种 专业 知识 和 技术 知识 。 阜 
尔 把 这 些 知识 分 为 社会 科学 .工程 技术 法律、 医学 .教育 和 环境 工程 等 。 钱 学 森 教 授 认 为 
“系统 工程 的 理论 基础 ,除了 共同 性 的 基础 之 外 ,每 门 系统 工程 又 有 各 自 的 专业 基础 。 这 是 
因为 对 象 不 同 ,当然 要 掌握 不 同 对 象 本 身 的 规律 。 例 如 工程 系统 工程 要 靠 工 程 设 计 ,军事 系 
统 工程 要 徘 军事 科学 等 ”。 


2.2 质量 管理 基础 


2.2.1 质量 概述 


质量 是 质量 管理 的 研究 对 象 ,是 事物 的 本 质 特 性 之 一 。 质 量 正面 临 着 越 来 越 严 峻 的 挑 
战 , 由 于 未 能 严格 把 关 , 导 致 许 多 产品 出 现 质量 问题 ,例如 三 星 手 机 爆炸 .丰田 召回 门 、 双汇 
瘦 肉 精 等 事件 层出不穷 ,如何 保 证 产品 质量 已 成 为 现代 工业 社会 和 各 国 经 济 建设 中 一 个 受 
到 普遍 关注 的 突出 问题 。 无 论 是 发 达 国 家 还 是 发 展 中 国家 ,部 深刻 感受 到 提高 质量 的 紧迫 
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感 和 不 提高 质量 就 不 能 生存 的 危机 感 。 但 是 对 于 到 底 什 么 是 质量 ,如何 提高 质量 ,每 个 人 的 
看 法 可 能 不 同 , 采 用 的 方法 和 手段 也 很 有 限 ,导致 生产 的 产品 和 工作 质量 总 存在 这 样 或 那样 
的 不 如 意 。 

质量 总 是 与 人 们 的 生活 息息相关 ,没有 人 否认 质量 。 例如, 食品、 药品 的 质量 关系 到 人 
们 的 健康 与 安全 ; 家 用 电器 的 质量 关系 到 使 用 的 舒适 度 和 便捷 性 ; 乘坐 的 交通 工具 的 质量 
关系 到 了 人 们 的 日 常 出 行 …… 每 个 人 都 期 望 自己 使 用 的 产品 都 有 满意 的 质量 ,但 往往 不 能 
如 愿 以 偿 。 产 品质 量 的 优 劣 直接 关系 着 现实 生活 中 人 们 的 生活 状况 ,必须 认真 对 待 。 例 如 ， 
1985 年 ,海尔 生产 的 第 一 批 冰 箱 不 合格 ,张瑞敏 就 坚决 把 有 毛病 的 76 台 永 箱 都 磺 摊 了 。 通 
过 这 件 事 ,海尔 全 员 意 识 到 了 质量 的 重要 性 ,在 1988 年 12 月 海尔 就 得 到 了 全 国 同 行业 的 第 
一 块 金 牌 ,海尔 的 员工 也 因此 树立 了 严格 的 质量 观 。 海 尔 在 经 营 生 产 中 始终 回 员 工 反 复 强 
调 : 用 户 是 企业 的 衣食 父母 。 在 生产 经 营 过 程 中 ,海尔 坚持 "精细 化 ,去 缺陷 ,让 每 个 员工 
都 明白 “下 道 工 序 就 是 用 户 ”。 这 些 思想 被 员工 自觉 落实 到 行动 上 ,每 个 员工 将 质量 隐患 消 
除 在 六 位 上 ,从 而 产品 合格 率 始 终 保持 100% ,这 也 奠定 了 海尔 在 电器 领域 的 龙头 地 位 。 只 
有 提高 质量 , 才 会 给 企业 带 来 竞争 力 和 生命 力 , 才 能 保障 企业 的 生存 与 发 展 。 

在 相当 长 的 一 段 时 间 , 人 们 对 “质量 ”的 概念 非常 模糊 ,总 是 将 质量 与 奢华 混为一谈 , 例 
如 ,了 紧 华 的 大 房子 , 昂 响 的 汽车 ,各 种 名 牌 .奢侈 品 , 但 是 如 果 顾 客 只 是 需要 居住 舒适 的 房子 、 
日 稼 出 行 简单 方便 、 生 活 无 忧 无 虑 ,那么 奢华 的 东西 就 体现 不 出 它们 的 价值 。 在 质量 的 内 容 
不 断 充 实 、 完 善 和 深化 的 阶段 ,人 们 对 质量 的 认识 也 经 历 了 一 个 不 断 发 展 和 完善 的 过 程 。 

美国 质量 管理 专家 元 劳 斯 比 从 生产 者 的 角度 出 发 ,把 质量 概括 为 “产品 符合 规定 要 求 的 
程度 ,而 不 是 好 ”,“ 好 优秀、 独特 ”等 术语 都 是 主观 的 和 模糊 的 。 只 有 所 有 标准 都 给 予定 义 
和 衡量 ,质量 的 衡量 才 是 可 能 的 和 有 实际 意义 的 。 例 如 ,一 辆 符合 所 有 设计 规格 的 小 汽车 就 
是 “有 质量 ”的 汽车 。 

美国 质量 管理 专家 朱 兰 博士 认为 ,质量 应 该 从 用 户 的 角度 出 发 , 即 产品 在 使 用 时 能 够 成 
功 满足 用 户 需 要 的 程度 。 用 户 对 产品 的 基本 要 求 就 是 适用 ,适用 性 恰如其分 地 表达 了 质量 
的 内 涵 。 例 如 ,用户 要 求 手机 可 以 上 网 .聊天 .视频 等 ,对 智能 手机 的 使 用 需求 就 要 比 非 智能 
手机 的 大 。 

ISO 8402 定义 质量 是 “反映 实体 满足 明确 和 隐 含 需要 能 力 的 特性 总 和 ”。 从 定义 来 看 ， 
质量 就 其 本 质 来 说 是 一 种 客观 事物 具有 某 种 能 力 的 属性 ,满足 人 们 的 需要 ,需要 有 两 个 层次 
构成 : 第 一 个 是 产品 的 符合 性 ; 第 二 个 是 产品 的 适用 性 。 

ISO9000 一 2000 把 质量 定义 为 一 组 固有 特性 满足 要 求 的 程度 。 在 这 个 定义 中 ,固有 特 
性 是 事物 本 来 就 有 的 ,例如 外 观 、 功 能 .适应 性 .安全 性 等 。 质 量 以 顾客 满意 为 衡量 依据 , 满 
足 顾 客 明 示 的 、 隐 含 的 需要 和 期 望 。 不 同 产品 的 固有 特性 和 赋予 特性 不 同 , 某 种 产品 的 赋予 
特性 可 能 是 男 一 种 产品 的 固有 特性 。 例 如 , 供 贷 及 时 性 是 汽 运 公司 工作 的 固有 特性 ,但 对 制 
造 部 门 来 说 则 是 赋予 特性 。 

20 世纪 90 年 代 , 摩 托 罗 拉 、 通 用 电气 等 企业 先后 推行 6c 管理 ,逐步 确定 了 全 新 的 卓越 
质量 理念 : 顾客 对 质量 的 感知 远 远 超出 其 期 望 ,质量 意味 着 没有 缺陷 。 根 据 卓 越 质 量 的 理 
念 ,体现 顾客 价值 ,追求 顾客 满意 和 顾客 忠诚 、 降 低 资 源 成 本 、 减 少 差错 和 缺陷 、 降 低 和 抵御 
风险 等 成 为 质量 衡量 的 依据 。 

质量 的 定义 经 历 了 符合 性 质量 .适用 性 质量 ,再 到 满足 性 质量 .日 越 质量 的 演变 ,至今 质 
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量 的 概念 仍然 随 着 经 济 和 社会 的 发 展 在 不 断 地 发 展 。 质 量 是 一 个 发 展 的 概念 ,其 最 终 判决 
权 在 顾客 和 相关 方 那里 , 它 的 本 质 含义 是 经 济 学 的 , 即 以 最 低 的 成 本 获取 最 大 利益 。 

从 质量 的 定义 可 以 了 解 到 ,质量 具有 经 济 性 .广义 性 .时 效 性 和 相对 性 。 

1. 经 济 性 

实现 高 质量 是 需要 付出 代价 的 。 一 般 来 说 ,要 求 越 高 ,质量 的 成 本 就 会 越 高 。 虽 然 组 织 
和 顾客 从 不 同 的 角度 关注 质量 ,但 是 价 廉 物美 是 人 们 的 价值 取 回 , 物 有 所 值 就 是 表明 质量 具 
有 经 济 性 的 特征 。 顾 客 和 组 织 对 经 济 性 的 考虑 是 一 样 的 。 

2. 广义 性 

质量 不 仅 指 产 品质 量 ,也 指 过 程 和 体系 的 质量 。 

3. 时 效 性 

质量 的 高 低 是 和 要 求 紧 密 联系 的 ,由 于 顾客 的 要 求 和 期 望 是 不 断 变化 的 ,组 织 就 需要 不 
断 调整 对 质量 的 要 求 。 要 求 的 变化 也 就 体现 了 质量 判定 标准 的 变化 。 随 着 时 间 的 推移 ,过 
去 被 认为 是 合格 的 产品 ,现在 可 能 被 判定 为 不 合格 产品 。 

4. 相对 性 

顾客 可 能 对 同一 产品 的 同一 功能 提出 不 同 的 需求 ,也 可 能 对 同一 产品 的 不 同 功能 提出 
不 同 的 需求 。 需 求 不 同 ,质量 要 求 也 不 同 , 只 有 满足 需求 的 产品 , 才 被 判定 为 质量 好 的 产品 。 


2.2.2 质量 管理 概述 


在 谈 到 质量 管理 时 , 先 考虑 一 个 问题 : 人 们 在 购买 商品 时 为 什么 倾 问 于 名 牌 产 品 ? 大 
多 数 人 认为 它们 可 以 为 我 们 提供 满意 的 产品 ,那么 为 什么 它们 可 以 提供 令 我 们 满意 的 产品 
呢 ? 因为 它们 大 吗 ? 历史 悠久 吗 ? 贯 吗 ? 其 实 最 重要 的 是 它们 有 一 套 以 零 缺陷 为 目标 的 不 
断 改 进 的 、. 科 学 的 .严格 的 质量 控制 方法 来 保证 不 同 顾客 交付 有 缺陷 的 产品 和 服务 。 

技术 和 管理 是 国民 经 济 系 统 中 两 个 相互 独立 又 相互 依存 的 组 成 部 分 ,技术 很 重要 ,管理 
更 重要 ,所 谓 “ 三 分 技术 ,七 分 管理 ?就 是 一 个 形象 的 说 明 。 质 量 管理 是 企业 管理 的 一 个 重要 
组 成 部 分 , 它 的 主要 研究 对 象 是 产品 质量 的 产生 形成 和 实现 过 程 的 管理 。 随 着 生产 和 科学 
技术 的 不 断 发 展 以 及 管理 科学 化 、 现 代 化 的 要 求 ,质量 管理 在 整个 企业 管理 中 的 地 位 和 作用 
越 来 越 显 得 重要 ; 同时 有 关 对 质量 管理 的 理论 .技术 和 方法 的 探索 ,也 越 来 越 丰 富 和 深化 。 
目前 ,质量 管理 已 经 从 管理 科学 中 分 离 出 来 ,形成 了 一 门 新 兴 的 “边缘 学 科 ”。 

质量 管理 影响 着 人 们 的 工作 和 生活 ,关系 着 千 千 万 万 户 家 庭 的 舒适 和 安全 ,牵动 着 人 们 
的 切身 利益 。 缺 乏 质量 管理 的 工程 得 不 到 保证 ,质量 管理 就 像 是 人 们 赖 以 生存 的 大 堤 ,一 旦 
“大 堤 ” 骨 塌 ,那么 人 们 的 安全 和 利益 将 失去 保障 。2003 年 2 月 1 日 ,美国 "哥伦比亚 ?号 航 
天 飞机 在 着 陆 前 爆炸 ,7 名 宇航 员 全 部 遇难 ,顿时 引起 了 整个 世界 的 震惊 ,美国 航天 负责 人 
也 因此 辞职 ,美国 航天 事业 受到 重创 。 事 后 调查 发 现 , 造 成 此 灾难 的 凶手 竟 是 一 块 脱落 的 隔 
热 瓦 ,这 令 许 多 人 意 想 不 到 “哥伦比亚 ?号 航天 飞机 有 两 万 多 块 隔 热 瓦 ,能 抵御 3000"C 高 
温 ,避免 航天 飞机 返回 大 气 层 时 外 碗 被 融化 。 航 天 飞机 是 高 科技 产品 ,许多 标准 是 一 流 的 ， 
质量 把 关 也 是 很 严格 的 ,但 就 一 块 脱落 的 隔 热 瓦 ,0.5% 的 差错 殖 送 了 价值 连城 的 航天 飞机 ， 
还 有 无 法 用 价值 衡量 的 宝贵 的 7 条 生命 。 由 这 个 案例 可 以 看 出 质量 管理 在 人 们 日 常生 活 的 
重要 性 ,一 旦 质量 管理 出 了 问题 ,人 们 的 生命 安全 也 会 受到 威胁 。 
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ISO 8042 将 质量 管理 定义 为 : 确定 质量 方针 、 目 标 和 职责 ,并 在 质量 体系 中 通过 诸如 质 
量 计划 质量 控制 .质量 保证 和 质量 改进 等 手段 来 实施 的 全 部 管理 职能 的 所 有 活动 。 

美国 质量 管理 大 师 朱 兰 对 质量 管理 的 基本 定义 : 质量 就 是 适用 性 的 管理 ,市 场 化 的 
管理 。 

费 根 堡 姆 的 定义 : 质量 管理 是 “为 了 能 够 在 最 经 济 的 水 平 上 并 考虑 到 充分 满足 顾客 需 
求 的 条 件 下 进行 市 场 研究 .设计 制造 和 售后 服务 ,把 企业 内 各 部 门 的 研制 质量 .维持 质量 和 
提高 质量 的 活动 构成 为 一 体 的 一 种 有 效 的 体系 ”。 

ISO 9000 一 2000 定义 质量 管理 是 “在 质量 方面 指挥 和 控制 组 织 的 协调 的 活动 ?>。 这 些 
“活动 ?包括 制定 质量 方针 和 质量 目标 、 质 量 策划 、 质 量 控制 .质量 保证 、 质 量 改 进 。 


1. 质量 方针 和 质量 目标 


质量 方针 是 由 组 织 的 最 高 管理 者 正式 颁布 的 该 组 织 的 总 质量 采 目 和 方向 。 质 量 方针 是 
企业 经 营 总 方针 的 组 成 部 分 ,企业 各 部 门 和 全 体 人 员 执 行 质 量 职能 和 从 事 质量 活动 时 必须 
遵守 和 依存 的 行动 纲领 。 不 同 的 企业 具有 不 同 的 质量 方针 ,但 部 必须 具备 明确 的 号 召 力 。 
企业 管理 者 将 质量 方针 的 关键 信息 和 关键 词语 形成 文件 进行 宣传 。 

质量 目标 是 组 织 在 质量 方面 所 退 求 的 目的 ,是 对 质量 方针 的 展开 和 具体 实现 。 目 标 既 
要 体现 先进 性 又 要 体现 可 行 性 ,便于 实施 和 检查 。 


2. 质量 策划 
质量 策划 致力 于 制定 质量 目标 并 规定 必要 的 作业 过 程 和 相关 资源 的 分 配 ,以 实现 质量 
目标 。 质量 策划 是 指导 与 质量 有 关 的 活动 , 即 指导 质量 控制 质量 保证 和 质量 改进 的 活动 ， 
关键 在 于 质量 目标 的 设 定 和 实现 。 在 质量 管理 中 ,质量 策划 的 地 位 低 于 质量 方针 的 建立 ,是 
设 定 质量 目标 的 前 提 , 高 于 质量 控制 质量 保 证 和 质量 改进 。 质 量 控制 质量 保 证 和 质量 改 
进 只 有 经 过 质量 策划 ,才能 确定 质量 目标 和 对 象 ,才能 采取 有 效 的 措施 和 方法 。 因 此 ,质量 
策划 是 质量 管理 诸多 活动 中 不 可 或 缺 的 中 间 环 节 , 是 连接 质量 方针 和 具体 的 质量 管理 活动 
之 间 的 桥 染 和 纽 种 。 
3. 质量 控制 
质量 控制 是 指 为 满足 质量 要 求 所 采取 的 作业 技术 和 活动 。 在 产品 生产 过 程 中 ,质量 控 
制 监视 着 质量 形成 过 程 ,消除 质量 环 上 所 有 阶段 引起 不 合格 或 不 满意 效果 的 因素 ,使 产品 问 
看 预定 的 目标 发 展 ,以 达到 质量 要 求 ,获取 经 济 效益 ,而 采用 的 各 种 质量 作业 技术 和 活动 。 
作为 质量 管理 的 一 部 分 ,质量 控制 适用 于 组 织 对 任何 质量 的 控制 , 它 不 仅仅 局 限于 生产 
领域 ,在 产品 的 设计 、 生 产 原料 的 采购 、 服 务 的 提供 \ 市 场 营 销 人 力 资 源 的 配置 等 领域 都 发 挥 
了 重要 作用 。 质 量 控制 是 为 了 使 产品 或 服务 达到 质量 要 求 而 采取 的 技术 措施 和 管理 措施 方 
面 的 活动 ,其 目标 在 于 确保 产品 或 服务 质量 能 满足 要 求 。 
4. 质量 保证 
质量 保证 的 关键 在 于 信任 一 对 达到 预期 质量 要 求 的 能 力 应 提供 足够 的 信任 。 质 量 保证 
在 订货 之 前 就 已 建立 好 ,如 果 缺 乏 这 种 信任 ,顾客 与 供 方 也 不 会 达成 交易 。 质 量 保证 是 为 使 
人 们 确信 产品 或 服务 能 满足 质量 要 求 而 在 质量 管理 体系 中 实施 并 根据 需要 进行 证 实 的 全 部 
有 计划 和 有 系统 的 活动 。 质 量 保证 以 保证 质量 .满足 要 求 为 基础 和 前 提 , 其 主要 目的 是 使 用 
户 确信 产品 或 服务 能 满足 规定 的 质量 要 求 。 


第 2 章 信息 安全 工程 基础 25 


所 量 你 证 不 征地 绩 由 你 放大 量 ,保证 质量 是 质量 控制 的 任务 ,质量 保证 的 工作 是 加 强 质 

量 管理 .完善 质量 管理 体系 、 完善 质量 控制 ,以 便 准 备 好 客观 证 据 , 并 根据 对 方 的 要 求 有 计 
划 、 有 步骤 地 开展 提供 证 据 的 活动 。 

5. 质量 改进 

质量 改进 是 为 回 本 组 织 及 其 顾客 提供 增值 效益 ,在 整个 组 织 范围 内 所 采取 的 提高 活动 
和 过 程 的 效果 与 效率 的 措施 。 作 为 质量 管理 体系 的 一 部 分 ,质量 改进 是 一 个 经 党 性 `\ 有 效 地 
提高 质量 的 活动 ,关键 在 于 消除 系统 性 的 问题 ,对 现 有 的 质量 水 平 在 控制 的 基础 上 加 以 提 
高 ,使 质量 达到 一 个 新 水 平 、 新 高 度 。 

质量 改进 致力 于 增强 满足 质量 要 求 的 能 力 , 其 目的 是 为 了 回 组 织 的 受益 者 提供 更 多 的 
收益 ,所 采取 的 提高 质量 过 程 效 益 和 效率 的 各 种 措施 。 当 然 , 质 量 改进 必须 按照 一 定 的 科学 
过 程 进 行 ,其 基本 过 程 是 PDCA(Plan Do Check Action) 循 环 , 即 计划 、 实 施 、 检 查 和 处 理 四 
个 阶段 , 它 具 体内 容 如 下 。 

(1) 制定 方针 、 目 标 、. 计 划 书 、 管 理 项 目 等 。 

(2) 按照 计划 实施 具体 对 策 。 

(3) 实施 了 具体 对 策 后 ,验证 其 结果 。 

(4) 总 结 成 功 的 经 验 , 实 施 标准 化 ,以 后 可 以 按照 该 标准 进行 生产 。 

对 于 没有 解决 的 问题 由 下 一 轮 的 PDCA 循环 处 理 ,为 下 一 轮 PDCA 提供 材料 。 


2.2.3 质量 管理 的 发 展 历 程 


20 世纪 40 年 代 , 质 量 管理 作为 一 门 新 兴学 科 开 始 发 展 和 深化 ,其 发 展 的 历史 并 不 太 
长 。 质 量 管理 是 由 商品 欧 争 的 需要 和 科学 技术 的 发 展 而 产生 、 形 成 发 展 至 今 的 ,是 同 科 学 
技术 、 生 产 力 水 平 以 及 管理 科学 化 和 现代 化 的 发 展 密 不 可 分 的 。 作 为 一 门 新 兴学 科 , 它 是 社 
会 化 大 生产 的 产物 ,也 是 生产 力 发 展 的 必然 结果 。 

从 质量 管理 的 发 展 历史 看 ,不 同时 期 质量 管理 的 理论 、 技 术 和 方法 都 在 不 断 地 发 展 和 变 
化 ,并 且 有 不 同 的 特点 。 从 实践 看 ,按照 解决 质量 所 依据 的 手段 和 方式 来 划分 ,质量 管理 发 
展 至 今 的 全 过 程 ,可 分 为 质量 检验 、 统 计 质 量 控制 和 全 面 质量 管理 三 个 阶段 。 


1. 质量 检验 阶段 


20 世纪 初 , 人 们 普 过 对 质量 管理 的 认识 仅 限 于 对 产品 质量 的 检验 ,通过 严格 检验 来 保 
证 出 场 或 转 和 人 下 一 道 工 序 的 产品 质量 。 因 此 ,质量 检验 工作 就 成 了 这 一 阶段 执行 质量 职能 
的 主要 内 容 。 质 量 检验 所 使 用 的 手段 是 各 种 各 样 的 设备 和 仪表 ,方式 是 严格 把 关 , 对 零件 和 
产品 进行 百分之百 的 检验 。 在 由 谁 来 执行 这 种 质量 职能 的 问题 上 ,在 实践 中 也 有 一 个 逐步 
变化 的 过 程 。 

在 20 世纪 以 前 ,产品 的 生产 和 质量 检验 全 部 由 手工 操作 者 进行 控制 和 把 关 , 工 人 既是 
生产 者 ,又 是 检验 者 。 因 此 ,操作 者 日 我 控制 的 管理 称 为 操作 者 的 质量 管理 

1918 年 ,美国 工程 师 泰 勒 根据 18 世纪 产业 章 命 以 来 工业 生产 管理 的 实践 经 验 ， 提出 了 
“科学 管理 ”理论 ,主张 在 人 员 中 科学 分 工 , 实 现 计划 职能 和 执行 职能 相 分 开 , 一 部 分 人 负责 
设计 、 计 划 , 男 一 部 分 人 负责 执行 。 该 理论 强调 了 工 长 在 保证 质量 方面 的 作用 ,在 工厂 中 设 
立 了 专职 检验 的 职能 工 长 。 这 样 , 执 行 质 量 检验 的 责任 就 由 操作 者 转移 给 工 长 。 因 此 ,可 以 
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称 为 工 长 的 质量 管理 。 

1940 年 前 后 ,由 于 企业 规模 的 扩大 , 带 来 了 生产 规模 和 生产 批量 的 不 断 扩 大 ,大 多 数 企 

业 都 设置 了 专职 的 检验 部 门 , 由 直属 广 长 直接 负责 Ce 

质量 检验 的 职能 又 由 工 长 转移 给 了 专职 的 质量 检验 人 员 。 因 此 ,可 以 称 为 检验 员 的 质 
理 。 tren att yi eho de 
按照 标准 检验 产品 质量 。 专 职 就 是 从 生产 成 品 中 挑 出 废品 ,保证 出 广 产 品质 量 ,又 是 一 道 重 
要 的 生产 工序 。 通 过 检验 ,反馈 质量 信息 ,从 而 预防 今后 出 现 同 类 废品 。 但 同时 又 应 看 到 ， 
这 种 检验 也 有 其 弱点 : 第 一 ,是 出 现 质量 问题 容易 扯皮 、 推 请 ,缺乏 系统 优化 的 观念 ; 第 二 ， 
它 属于 “事后 检验 ”, 无 法 在 生产 过 程 中 完全 起 到 预防 、 控 制 的 作用 ,一 经 发 现 废品 ,就 是 “ 既 
成 事实 ”, 一 般 很 难 补 救 ; 第 三 , 它 要 求 对 成 品 进行 百分之百 的 检验 ,这 样 做 有 时 在 经 济 上 并 
不 合理 (增加 检验 费用 ,延误 出 厂 交 货 期 限 ), 有 时 从 技术 上 考虑 也 不 可 能 (例如 破坏 性 检 
验 ) ,在 生产 规模 扩大 和 大 批量 生产 的 情况 下 ,这 个 弱点 尤为 突出 。 

2. 统计 质量 控制 阶段 

随 着 工业 化 的 发 展 和 产量 的 提高 ,检验 人 员 随 之 增加 ,人 数 最 多 的 时 候 约 占 到 公司 的 
30%% ,对 产品 的 成 本 也 造成 了 很 大 的 压力 。 后 期 检验 中 ,质量 不 合格 的 产品 也 出 现 了 ,产品 
的 生产 成 本 被 迫 提高 了 。 在 大 批量 生产 的 情况 下 ,事后 检验 信息 由 于 不 能 及 时 反馈 给 公司 
而 造成 了 巨大 的 损失 ,而 且 采 取 人 力 检 验 的 方式 成 本 太 高 ,这 就 要 求 用 更 经 济 的 方式 来 解 
决 质量 检验 问题 ,并 要 求 事先 预防 成 批 废品 的 产生 。 在 质量 检验 阶段 时 ,一 些 著 名 的 统 
计 学 家 和 质量 管理 专家 就 开始 注意 质量 检验 的 罚 点 ,并 设法 运用 数理 统计 方法 去 解决 这 
些 问题 。 

统计 质量 控制 是 用 管理 统计 的 方法 控制 整个 生产 过 程 的 质量 ,该 阶段 的 主要 特点 是 应 
用 数理 统计 原理 和 抽样 技术 对 生产 过 程 进 行 控 制 ,以 预防 不 良 质 量 产 品 的 出 现 , 即 进行 事前 
的 、 预 防 性 的 生产 过 程控 制 。 质 量 管理 从 “事后 把 关 ” 的 阶段 发 展 到 了 “事先 预防 ”的 阶段 , 开 
创 了 质量 管理 的 新 局 面 。 

统计 质量 控制 阶段 的 开始 时 间 一 般 认 为 是 20 世纪 40 年 代 至 50 年 代 末 ,正式 在 工业 生 
产 中 推广 应 用 是 从 第 二 次 世界 大 战 开 始 的 。 第 二 次 世界 大 战 开 始 后 ,由 于 苗 需 品 面临 严重 
问题 ,质量 检验 的 弱点 骏 露 无 遗 , 检 验 部 门 成 为 生产 过 程 中 最 薄弱 的 环节 。 由 于 事先 无 法 控 
制 生产 过 程 中 的 质量 状况 ,检验 的 工作 量 大 ,致使 军需 品 的 生产 经 稼 不 能 按期 交 任 ,严重 影 
啊 前 线 的 军需 供应 。 为 克服 这 一 影响 ,美国 政府 开始 推广 运用 统计 质量 控制 方法 ,用 数理 统 
计 方 法 制定 了 战 时 质量 管理 标准 。 美 国 军 政 部 门 随即 组 织 一 epee a dt 
1941 一 1942 年 间 先 后 制定 并 公布 了 《质量 管理 指南 兴 数 据 分 析 用 控制 图 《生产 过 程 中 质 
otto evn loi WIRE ER be 
经 济 上 都 占据 世界 领先 地 位 。 由 于 采用 了 统计 质量 控制 方法 ,这 给 这 些 军 工 企 业 融 来 了 巨 
额 利 润 。 战 后 ,其 他 企业 也 竞相 仿效 。 质 量 统计 控制 方法 成 为 质量 管理 的 主要 内 容 。 

统计 质量 控制 强调 对 生产 制造 过 程 的 预防 性 控制 ,使 质量 管理 由 单纯 依靠 质量 检验 事 

后 把 关 ,发 展 到 突出 质量 的 预防 性 控制 与 事后 检验 相 结合 的 工序 管理 ,成 为 进行 生产 过 程控 

制 强 有 力 的 工具 。 但 由 于 统计 质量 管理 过 分 强调 统计 方法 ,忽略 了 组 织 管理 和 生产 者 能 动 
性 ,致使 人 们 误 认 为 “质量 管理 好 像 就 是 数理 统计 方法 ”质量 管理 是 少数 数学 家 和 学 者 的 事 
情 ”。 这 些 影响 了 质量 管理 方法 的 普及 ,限制 了 它 的 发 展 。 
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3. 全 面 质量 管理 阶段 


进入 20 世纪 50 年 代 之 后 , 随 着 社会 生产 力 的 迅速 发 展 ,科学 技术 日 新 月 异 , 工 业 生 产 
技术 手段 越 来 越 现 代 化 ,工业 产品 更 新 换代 也 越 来 越 频 繁 。 

美国 的 “阿波 罗 ” 飞 船 零 件 有 560 万 个 ,如 果 零 件 的 可 靠 性 只 有 99. 9% , 则 飞行 中 就 可 
能 有 5600 个 机 件 要 发 生 故 障 , 后 果 不 堪 设 想 。 为 此 ,全 套装 置 的 可 靠 性 要 求 在 99. 9999%% ， 
在 100 万 次 动作 中 ,只 允许 失灵 一 次 ,连续 安全 工作 时 间 要 在 1 亿 一 10 亿 小 时 。 如 此 要 求 ， 
单 靠 统 计 方 法 控制 是 不 够 的 ,还 需要 一 系列 的 组 织 管理 工作 ,要 对 设计 、 准 备 、 制 造 、 销 售 和 
使 用 等 环节 都 进行 质量 管理 ,统计 方法 只 是 其 中 的 一 种 工具 。 这 样 ,新 的 历史 条 件 和 经 济 形 
势 对 质量 管理 提出 了 新 的 要 求 , 使 质量 管理 从 SQC 向 更 高 级 的 全 面 管理 发 展 。 

最 早 提 出 全 面 质量 管理 概念 的 是 美国 通用 电气 公司 质量 经 理 阿曼 德 。 费 根 堡 姆 。1961 
年 ,他 出 版 了 一 本 著作 《全 面 质量 管理 》。 该 书 强调 执行 质量 职能 是 公司 全 体 人 员 的 责任 ,他 
提出 :“ 全 面 质量 管理 是 为 了 能 够 在 最 经 济 的 水 平 上 并 考虑 到 充分 满足 用 户 要 求 的 条 件 下 
进行 市 场 研究 .设计 .生产 和 服务 ,把 企业 各 部 门 的 研制 质量 、 维 持 质 量 和 提高 质量 活动 构成 
为 一 体 的 有 效 体系 。? 全 面 质量 管理 ,就 是 对 产品 实行 总 体 的 、 综 合 的 管理 ,并 在 企业 中 建立 
一 套 完整 的 质量 管理 体系 ,以 便 生 产 出 可 满足 用 户 要 求 的 优质 产品 。 全 面 质量 管理 源 于 美 
国 , 但 首先 在 日 本 取得 巨大 成 效 。 由 于 全 面 质量 管理 符合 当时 世界 经 济 技 术 发 展 的 需要 ,所 
以 很 快 普及 到 各 工业 发 达 国 家 ,我 国 在 1978 年 开始 先后 在 各 行业 推行 。 全 面 质量 管理 从 
20 世纪 60 年 代 发 展 至 今 , 其 内 容 和 方法 日 趋 完 善 ,并 形成 了 完整 的 科学 体系 。 通 常 称 全 面 
质量 管理 阶段 是 质量 管理 的 完善 期 和 巩固 期 。 

应 该 看 到 ,质量 管理 发 展 的 三 个 阶段 不 是 孤立 的 ,前 一 个 阶段 是 后 一 个 阶段 的 基础 ,后 
一 个 阶段 是 前 一 个 阶段 的 继承 和 发 展 。 


2.2.4 质量 管理 的 原则 


1. 以 顾客 为 关注 焦点 

组 织 依存 于 顾客 。 因 此 ,组 织 应 当 理 解 顾客 当前 和 未 来 的 需求 ,满足 顾客 的 要 求 并 争取 
超越 顾客 的 期 望 。 

2. 领导 作用 

领导 者 应 当 建 立 组 织 统一 的 宗旨 和 方向 ,并 创造 和 保持 使 员工 能 够 充分 参与 和 实现 组 
织 目标 的 内 部 环境 。 


3. 全 员 参 与 
各 级 人 员 是 组 织 之 本 ,只 有 全 员 的 充分 参与 ,才能 使 他 们 的 才干 为 组 织带 来 效益 。 
4. 过 程 方法 


将 活动 和 相关 的 资源 作为 过 程 进行 管理 ,可 以 更 高 效 地 得 到 期 望 的 结果 。 
5. 管理 的 系统 方法 


将 相互 关联 的 过 程 作为 系统 加 以 识别 .理解 和 管理 ,有 助 于 组 织 提高 实现 目标 的 效率 和 
有 效 性 。 
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6. 持续 改进 

持续 改进 整体 业绩 应 当 是 组 织 的 一 个 永恒 目标 。 

7. 基于 事实 的 决策 方法 

有 效 的 决策 是 建立 在 数据 和 信息 分 析 基 础 上 的 。 

8. 互利 的 供 方 关系 

组 织 与 供 方 是 相互 依存 的 ,互利 的 供 方 关系 可 以 增强 双方 创造 价值 的 能 力 。 

八 项 管理 原则 系统 地 阐述 了 企业 建立 质量 管理 体系 ,按照 ISO 9000 标准 进行 管理 理 
念 、 管 理 目 标 、 管 理 基础 ,管理 方法 和 相关 方 关系 处 理 。 标 准 提出 以 顾客 为 中 心 ,让 顾客 满意 
的 理念 ,指出 一 切 工作 应 该 以 持续 改进 为 目标 ,在 领导 的 作用 和 全 员 参 与 的 基础 上 ,采用 过 
程 方法 ,管理 的 系统 方法 和 基于 事实 决策 的 方法 进行 管理 ,本 着 互惠 互利 的 原则 处 理 供 方 


2.3 ”项目 溃 理 基础 


2.3.1 项 目的 定义 特征 及 分 类 


首先 看 看 现实 生活 中 发 生 的 一 些 事例 。 

某 大 学 承担 国家 人 研究 课题 ,人 研究 生产 治疗 非典 型 肺炎 的 药物 ,希望 在 5 年 内 出 成 果 , 该 
研究 项 目 同时 也 得 到 一 些 药 厂 的 资助 ; 某 企业 为 了 满足 市 场 的 需要 ,准备 扩大 生产 规模 ,新 
建设 一 条 世界 一 流 的 生产 线 , 这 个 项 目 将 历时 一 年 ,投资 5000 万 元 …… 

类 似 这 样 的 事例 在 人 们 的 日 常生 活 中 随处 可 见 , 大 到 长 江 三 峡 水 利 枢 纽 工程 .阿波 罗 二 
号 登 月 计划 .奥林匹克 运动 会 人造 卫 星 等 ,小 到 手机 的 生产 .汽车 的 制造 .工厂 的 建设 .新药 
物 的 研发 等 ,诸如 这 些 都 可 以 称 之 为 项 目 。 在 当今 社会 ,项 目 已 涉及 人 们 生活 的 方方面面 ， 
可 以 说 项 目 无 处 不 在 。 

在 上 述 事例 中 ,由 于 项 目 在 不 同 的 领域 ,因此 项 目的 内 容 可 以 说 是 千差万别 ,那么 ,项 目 
的 科学 含义 究竟 是 什么 ”人们 又 是 如 何 理解 项 目的 呢 ? 

质量 管理 大 师 朱 兰 提出 ,一 个 项 目 就 是 一 个 计划 要 解决 的 问题 。 该 定义 认为 ,项 目 开 始 
的 前 提 是 在 有 计划 的 基础 上 ,目的 是 解决 问题 。 

美国 项 目 管理 权威 机 构 一 一 项 目 管 理 协会 (Project Management Institute,PMI) 认为 ， 
项 目 是 一 种 被 承办 的 下 在 创造 某 种 独特 产品 或 服务 的 一 次 性 努力 。 

R. J 格雷 厄 姆 认为 ,项 目 是 为 了 达到 特定 目标 而 调集 到 一 起 的 资源 组 合 , 它 与 常规 任 
务 之 间 关 键 的 区 别 是 : 项 目 通常 只 做 一 次 ; 项 目 是 一 项 独特 的 工作 努力 , 即 按 某 种 规范 及 
应 用 标准 导入 或 生产 某 种 新 产品 或 茶 项 新 服务 。 这 种 工作 努力 应 当 在 限定 的 时 间 、 成 本 费 
用 、 人 力 资 源 等 项 目 参 数 内 完成 。 

国际 化 标准 组 织 从 项 目 管理 过 程 的 角度 对 项 目 给 出 的 定义 是 : 项 目 是 由 一 系列 具有 开 
始 和 结束 日 期 、 相互 协 调和 控制 的 活动 组 成 的 ,通过 实施 活动 而 达到 满足 时 间 、 费 用 和 资源 
等 约束 条 件 和 实现 项 目 目标 的 独特 过 程 。 

尽管 从 不 同 的 角度 出 发 ,对 项 目的 描述 不 尽 相 同 ,但 是 去 掉 具 体内 容 , 它 们 的 共同 特征 
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是 可 循 的 。 一 般 项 目 特征 可 归纳 为 以 下 几 点 。 

1. 临时 性 

每 一 个 项 目 都 有 明确 的 开始 时 间 和 结束 时 间 ,没有 可 以 完全 照搬 的 先例 , 它 是 一 次 性 
的 、 不 可 重复 的 ,例如 ,建造 空间 站 就 是 独一无二 的 ,之 前 从 来 没有 过 尝试 。 项目 从 整体 来 
说 ,任务 完成 或 由 于 某 种 原因 无 法 继续 进行 下 去 时 ,项 目 就 结束 。 例 如 ,建立 一 个 核电 站 可 
以 视 为 一 个 项 目 , 当 核电 站 建成 投入 使 用 后 ,也 就 意味 着 项 目的 结束 。 

项 目的 临时 性 也 决定 了 项 目 组 织 的 临时 性 ,项 目 组 织 一 般 是 为 某 一 特定 的 项 目 而 组 建 
的 ,项 目 结束 也 标志 着 项 目 组 织 的 解散 。 

2. 独特 性 

项 目 是 为 创建 某 一 独特 的 产品 、 服 务 或 成 果 而 临时 进行 的 一 次 性 努力 ,在 某 些 方面 它 会 
有 明显 的 特点 ,不 会 有 同样 的 现象 。 

每 个 项 目 都 是 独特 的 ,由 于 它 有 区 别 于 其 他 任务 的 特殊 要 求 ,或 者 名 称 相 同 ,内 容 不 同 ; 
或 者 内 容 相 同 ,然而 时 间 和 地 点 ,内 部 和 外 部 的 环境 .自然 和 社会 条 件 与 其 他 项 目 不 同 , 例 
如 ,在 以 同样 的 建筑 风格 和 施工 方案 来 建造 两 个 商城 时 ,尽管 两 个 商城 看 上 去 一 模 一 样 ,但 
是 两 个 商城 会 因 不 同 的 施工 时 间 .施工 地 点 和 不 同 的 管理 方式 ,依然 具有 自己 的 独特 本 质 。 

3. 制约 性 

项 目的 制约 性 是 指 每 个 项 目 都 在 一 定 程度 上 受到 客观 条 件 和 资源 的 限制 。 在 项 目 实施 
时 ,项 目 需 要 运用 各 种 资源 来 进行 ,除了 受到 时 间 限 制 外 , 它 还 受到 资金 .人 力 资 源 、 技术 和 
信息 资源 的 限制 ,这 些 限制 条 件 和 项 目 所 处 的 环境 的 一 些 约束 因素 构成 了 项 目的 制约 性 。 
如 果 项 目 在 人 人力、 物力 、 财 力 、 时 间 等 方面 的 资源 宽裕 ,制约 性 小 ,那么 其 成 功 的 可 能 性 就 会 
高 ; 相反 , 则 项 目 成 功 的 可 能 性 就 会 大 大 降低 。 例 如 ,10 个 人 在 3 天 内 完成 100 个 摄像 头 的 
安装 与 调试 ，10 个 人 ”3 天 内 ”100 个 摄像 头 ” 完成 安装 与 调试 ? 均 属 于 约束 条 件 。 

4. 渐进 明细 性 

渐进 明细 性 即 人 们 和 党 说 的 “不 确定 性 ”。 项 目 在 执行 过 程 中 包含 着 一 定 的 不 确定 性 。 在 
一 个 项 目 开 始 前 ,只 能 粗略 地 定义 和 摘 述 , 随 着 项 目的 进展 ,这 些 目 标 和 过 程 和 逐渐 清晰 、 明 
朗 、 完 善 和 精准 。 渐 进 明 细 也 暗示 着 在 项 目 进展 中 ,一 定 会 出 现 修 改 、 纠 正 、 补充、 删除 等 现 
象 , 发 生 相 应 的 变更 。 例 如 在 一 个 软件 开发 项 目 中 ,由 于 在 前 期 客户 的 需求 不 明确 ,开发 团 
队 只 能 建立 一 个 快速 原型 模型 ,然后 用 户 在 了 解 模型 后 提出 修改 意见 ,开发 团队 不 断 在 原型 
上 进行 修改 ,这 要 求 项 目 经 理 在 实施 项 目 时 ,正确 面 对 , 不 要 惊 怀 。 

5. 目的 性 

项 目的 目的 性 是 指 任何 一 个 项 目 必 须 具 有 详细 而 明确 的 目标 , 即 在 实施 项 目 时 所 要 达 
到 的 期 望 结 果 。 时 间 目 标 上 ,项 目 在 规定 的 时 间 段 内 完成 ; 成 果 目 标 上 ,在 时 间 期 限 内 提供 
某 种 规定 的 产品 .服务 或 其 他 成 果 。 项 目的 一 切 工 作 是 以 目标 为 导 癌 ,目标 贯穿 于 项 目 始 
终 ,项 目 计 划 和 一 系列 实施 活动 都 是 围绕 目标 而 展开 的 。 项 目的 目标 依照 项 目 范 围 .进度 计 
划 和 质量 成 本 来 定义 ,使 之 明确 或 量化 。 

6. 周期 性 

项 目的 周期 性 是 指 项 目 往 往 有 一 个 明确 的 开始 日 期 和 实现 目标 的 结束 日 期 。 例 如 ,三 
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峡 工 程 分 三 期 ,从 1994 年 开工 ,到 2009 年 竣工 ,总 工期 16 年 。 项 目 有 有 具体 的 时 间 计 划 和 有 
限 寿 命 , 项 目 目标 的 完成 意味 着 项 目的 结束 ,没完 没 了 或 重复 性 的 工作 不 能 称 为 项 目 。 
按照 不 同 的 标准 和 原则 ,项目 可 以 进行 不 同 的 分 类 ,如 表 2-1 所 示 。 


表 2-1 项 目 分 类 


分 类 标准 分 类 内容 
按照 规模 大 小 划分 特大 型 项 目 、 大 型 项 目 、 中 型 项 目 、 小 型 项 目 
按照 性 质 划 分 新 建 项 目 、 扩 建 项 目 、 改 建 项 目 、 迁 建 项 目 恢复 项 目 
按照 复杂 程度 划分 复杂 项 目 、 简 单项 目 
按照 项 目 结果 划分 品 项 目 、 服 务 项 目 

` 工 业 项 目 、 投 资 项 目 、 建 i , , 

按照 行业 领域 划分 ee 工业 项 目 、 投 资 项 目 、 建 设 项 目 、 教 育 项 目 、 社 
按照 用 户 状况 类 别 划 分 明确 用 户 的 项 目 、 无 明确 用 户 的 项 目 
按照 投资 使 用 方向 和 投资 主体 的 活动 范围 


项 项 目 从 
划分 竞争 性 项 目 、 基 础 性 项 目 、 公 益 性 项 目 


2.3.2 项 目 管理 概述 


项 目 管理 是 伴随 着 拉 术 进步 和 项 目的 复杂 化 、 大 型 化 而 隶 渐 形成 的 一 门 管理 学 科 , 它 以 
项 目 为 研究 对 象 , 在 有 限 的 资源 限定 条 件 下 ,通过 临时 性 的 开发 组 织 对 项 目 进行 高 效率 的 计 
划 、 组 织 . 实 施 和 监管 ,动态 管理 项 目 过 程 ,最终 实现 或 超过 设 定 的 需求 和 期 望 的 过 程 。 

“项 目 ” 这 一 概念 很 早 就 诞生 了 , 它 可 以 退 济 到 数 千年 之 前 ,例如 古 埃及 的 金字 塔 \ 中 国 
的 万 里 长 城 和 都 江 卉 、 印 度 的 泰 毁 陵 、 巴 比 伦 的 空中 花园 等 ,这 些 闭 名 工程 体现 了 项 目 管理 
的 概念 和 技术 。 只 要 有 项 目的 建设 就 会 有 相应 的 项 目 管理 问题 。 例 如 ,我 国 北宋 真宗 年 间 ， 
旦 宫 失 火 ,将 明定 烧 成 废墟 , 宋 真宗 命令 丁 滑 主 持 修 改 旦 宫 的 工程 ,此 工程 时 间 紧 迫 ,工程 规 
模 庞 大 ,而且 星 宫 结 构 比 较 复 杂 。 那 么 如 何在 有 限 的 时 间 和 资源 条 件 下 ,以 最 小 的 代价 、 最 
快 的 速度 完成 这 项 工程 便 成 为 一 大 难题 。 在 对 废墟 的 勘察 中 丁 渭 发 现 了 三 个 难题 ; 第 一 是 
取 土 困难 ; 第 二 是 运输 困难 ; 第 三 是 清理 废墟 困难 。 在 明确 主要 问题 后 ,制定 了 详细 的 解 
决 方案 : 沿 星 写 前 门 大道 至 六 水 河 量 控 道 取 土 ,将 大 道 挫 成 小 河道 , 挖 出 的 土 用 来 烧 瓦 , 解 
决 取 土 困 难 ”。 挖 成 河道 接 通 沪 水 ,建筑 材料 可 由 小 河道 直 运 工地 ,解决 了 “运输 困难 ”。 旦 
宫 修复 后 ,将 建筑 垃圾 填 到 小 河道 内 ,恢复 原来 的 大 道 , 解 决 了 “清理 废墟 困难 ”。 这 个 项 目 
运用 “大 道 变 河道 “ 挖 土 来 烧 瓦 “废墟 填 河 道 ” 这 三 个 事件 的 相互 关系 ,使 整个 工程 系统 有 
序 进行 并 向 理想 的 方向 发 展 ,这 也 许 是 古人 成 功 地 进行 项 目 管理 的 先例 。 虽 然 项 目 管理 的 思 
想 在 古代 就 有 体现 ,但 是 直到 21 世纪 初 ,一 套 科 学 的 项 目 管理 理论 和 项 目 管理 技术 依然 没有 
形成 体系 , 绝 大 多 数 的 项 目 依然 依 徘 个 人 的 经 验 和 直觉 ,项 目 在 管理 上 根本 不 具有 科学 性 。 

在 上 述 案例 中 ,项 目 管理 方法 在 实践 中 取得 成 功 的 例子 使 得 人 们 越 来 越 重 视 项 目 管理 
的 理论 和 方法 , 它 对 提高 项 目的 管理 效率 起 到 了 重要 作用 。 

近代 项 目 管 理 始 于 20 世纪 30 年 代 ,最初 由 享 利 。LL. 甘 特 发 明 的 甘 特 图 进行 项 目的 规 
划 和 控制 ,这 种 图 直观 地 反映 了 项 目的 过 程 管理 与 进度 ,但 是 对 于 规模 较 大 、 内 容 复杂 的 项 
目 而 言 , 甘 特 图 就 不 能 综合 地 反映 项 目 本 号 的 完成 情况 。 直 到 1931 年 ,由 卡 罗 尔 。 阿 丹 密 


第 2 章 信息 安全 工程 基础 3 


基 研 制 的 协调 图 克服 了 这 一 缺点 ,但 是 这 项 研究 并 没有 得 到 人 们 的 重视 。 早 期 ,人 们 虽然 运 
用 项 目 管理 的 方法 和 技术 ,但 是 对 于 项 目 管理 的 概念 没有 清晰 的 理解 ,项 目 管 理 的 概念 也 缺 
乏 科 学 的 理论 指导 。 第 二 次 世界 大 战 后 ,项 目 管理 的 概念 被 提出 与 曼哈顿 的 计划 有 关 。 进 
入 20 世纪 50 年 代 , 杜 邦 公 司 在 一 个 价值 千 万 美元 的 化 工 项 目 运用 了 关键 路 径 法 ,大 大 缩短 
了 工期 ,节约 了 10% 的 投资 ; 美国 海军 研究 北极 星 式 导弹 的 应 急 项 目 通过 运用 计划 评审 技 
术 开 发 出 来 ,该 项 目 解 决 了 200 多 个 承包 商 的 组 织 协调 问题 。 发 展 到 60 年 代 , 网 络 技术 被 
应 用 到 美国 的 特大 型 项 目 阿 波 罗 载 人 登 月 计划 ,采用 这 一 技术 ,使 整个 项 目的 运筹 和 组 织 工 
作 进 行 得 有 条 不 闪 。 到 现在 ,项 目 管理 已 经 与 人 们 的 日 常生 活 息 息 相 关 , 不 可 分 割 。 

了 解 了 项 目 管理 的 发 展 过 程 ,那么 项 目 管理 究 况 是 什么 ? 与 项 目的 概念 相对 应 ,项 目 管 
理 是 在 一 定 的 时 间 期 限 和 有 限 的 资源 约束 下 ,为 了 完成 一 个 既定 的 目标 ,通过 项 目 经 理 和 项 
目 组 织 的 合作 ,有 效 地 计划 组织、 领导 和 控制 项 目 ,使 项 目 达 到 既定 目标 。 项 目 管理 是 综合 
应 用 理论 和 经 验 知 识 , 在 各 种 资源 约束 下 寻找 实现 预定 目标 最 佳 的 组 织 安 排 和 管理 方法 。 
所 以 ,项 目 管理 是 理论 知识 与 经 验 的 有 机 结合 ,两 者 缺 一 不 可 ,一 个 优秀 的 项 目 经 理应 该 是 
具有 扎实 的 理论 功底 ,经 过 多 个 项 目 管理 磨炼 出 来 的 管理 者 。 

项 目 管理 具有 以 下 基本 特点 。 

(1) 项 目 管理 是 一 项 复杂 的 工作 。 

项 目的 建设 时 间 跨 度 长 ,涉及 面 广 、 过 程 复杂 。 项 目 管理 需要 各 方面 的 人 员 相 互 协 调 ， 
要 求全 体 人 员 能 够 综合 运用 包括 专业 技术 .经济 法律 等 多 种 学 科 知 识 , 步 调 一 致 地 进行 工 
作 ,随时 解决 工程 项 目 建 设 过 程 中 发 生 的 问题 。 

(2) 项 目 管理 具有 创造 性 。 

项 目 具 有 一 次 性 的 特点 。 没 有 两 个 完全 相同 的 项 目 。 项目 管理 者 必须 从 实际 出 发 , 结 
合 项 目的 具体 情况 ,因地制宜 地 处 理 和 解决 项 目 实际 问题 。 因 此 ,项 目 管理 就 是 将 前 人 总 结 
的 知识 和 经 验 , 创 造 性 地 运用 于 项 目 管理 实践 。 

(3) 项 目 管理 需要 集权 领导 和 建立 专门 的 项 目 组 织 。 

项 目 管理 需要 对 资金 、 人 员 、 材 料 \ 设 备 等 多 种 资源 、 进 行 优化 配置 和 合理 使 用 ,需要 专 
门 机 构 、 专 业 人 才 进 行 专业 化 管理 。 

(4) 项 目 管理 者 或 项 目 经 理 在 项 目 管理 中 起 着 非常 重要 的 作用 。 

项 目 经 理 是 项 目 管理 的 核心 ,一 个 好 的 项 目 背 后 必然 有 一 个 优秀 的 项 目 经 理 。 项 目 经 
理 必 须 能 够 了 解 .利用 和 管理 项 目的 技术 方面 的 复杂 性 ,必须 能 够 综合 各 种 不 同 的 专业 观点 
来 考虑 问题 。 但 仅 具 备 技术 知识 和 专业 知识 仍 是 不 够 的 ,成 功 的 管理 还 取决 于 预测 和 控制 
人 的 行为 的 能 力 。 项 目 经 理 的 最 终 职责 是 确保 工作 在 预算 内 按时 优质 地 完成 ,使 客户 满意 。 
激励 项 目 团队 ,局 得 顾客 的 信任 ,是 项 目 经 理 必 备 的 技能 。 


2.3.3 项 目 管 理 的 过 程 


项 目 管理 是 由 一 系列 的 项 目 阶段 或 工作 过 程 构 成 的 ,任何 项 目 都 可 以 划分 为 多 个 不 同 
的 项 目 阶 段 或 项 目 工作 过 程 ,这 些 过程 相 互 交 又 ,相互 作用 。 美 国 项 目 管理 协会 把 项 目 管理 
分 成 5 个 过 程 组 : 启动 计划, 执行、 控制 和 结束 ,这 些 过 程 组 贯穿 于 项 目的 整个 生命 周期 。 
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只 有 完成 了 本 过 程 工作 ,才能 进入 下 一 个 过 程 ,不 可 盲目 逾越 。 

1. 启动 过 程 

启动 过 程 就 是 一 个 新 项 目的 识别 和 开始 的 过 程 , 它 定 义 了 某 一 个 项 目 阶 段 的 工作 开始 
与 否 , 如 果 项 目 不 能 满足 用 户 需 求 ,那么 项 目 就 会 终止 。 

启动 过 程 所 包含 的 管理 内 容 有 : 定义 一 个 项 目 或 项 目 阶段 的 工作 与 活动 ,决策 一 个 项 
目 或 项 目 阶段 的 启动 与 否 ,或 决策 是 否 将 一 个 项 目 或 项 目 阶段 继续 进行 下 去 等 工作 ,这 是 由 
一 系列 项 目 决策 性 工作 所 构成 的 项 目 管理 具体 过 程 。 

2. 计划 过 程 

计划 过 程 也 称 为 规划 过 程 , 它 是 项 目 管 理 过 程 中 最 复杂 也 是 最 重要 的 一 个 阶段 。 因 为 
这 个 阶段 涉及 了 项 目 范 围 管理 .时 间 管 理 、 成 本 管理 .质量 管理 .沟通 管理 `、 人 力 资 源 管理 、 风 
险 管理 .采购 管理 、 集 成 管理 等 9 个 方面 , 它 贯 穿 于 项 目 管理 的 整个 生命 周期 。 如 果 项 目 发 
生 重大 变化 ,就 必须 对 以 往 的 计划 进行 重新 审查 。 

计划 过 程 所 包含 的 管理 内 容 有 : 拟订 编制 和 修订 一 个 项 目 或 项 目 阶 段 的 工作 目标 、 工 
作 计 划 方 案 .资源 供应 计划 、 成 本 预算 .计划 应 急 措施 等 方面 的 工作 。 

3. 执行 过 程 

项 目 执行 阶段 ,也 叫 项 目 实施 阶段 ,需要 完成 项 目 管理 计划 中 确定 的 工作 ,这 样 才 能 满 
足 项 目 规范 要 求 。 

执行 过 程 包含 的 管理 内 容 有 : 组 织 和 协调 人 力 资源 和 其 他 资源 ,组 织 和 协调 各 项 任务 
与 工作 ,激励 项 目 团 队 完 成 既定 的 工作 计划 ,生成 项 目 产 出 物 等 方面 的 工作 。 

4. 控制 过 程 

项 目 控 制 阶段 也 是 一 个 非常 重要 的 阶段 , 它 在 整个 项 目 过 程 中 发 挥 着 监督 作用 ,能 够 保 
证 项 目 顺 利 、 正 确 地 实施 。 

控制 过 程 包 括 的 管理 内 容 有 : 制定 标准 、 监 督 和 测量 项 目 工作 的 实际 情况 、 分 析 差 异 和 
问题 .采取 纠偏 措施 等 管理 工作 和 活动 。 这 些 都 是 保障 项 目 目 标 得 以 实现 ,防止 偏差 积累 而 
造成 项 目 失 败 的 管理 工作 与 活动 。 

5。. 结束 过 程 

进入 项 目 收尾 阶段 ,意味 痢 项 目 管理 过 程 中 的 各 个 阶段 都 已 经 完结 ,整个 项 目 正 式 
结束 。 

结束 过 程 包 括 的 管理 内 容 有 : 制定 一 个 项 目 或 项 目 阶段 的 移交 与 接收 条 件 , 项 目 或 项 

目 阶 段 成 果 的 移交 ,从 而 使 项 目 顺利 结束 的 管理 工作 和 活动 。 

项 目 管理 的 过 程 不 是 独立 的 一 次 性 事件 ,它们 是 贯穿 项 目 每 一 个 阶段 强度 有 所 变化 的 
互相 重 倒 的 活动 。 图 2-2 说 明了 一 个 项 目 阶段 的 各 个 过 程 是 如 何 重 全 和 变化 的 。 

项 目 管 理 的 过 程 还 与 它们 产生 的 结果 联系 起 来 。 一 个 过 程 的 结果 将 成 为 男 一 个 过 程 的 
依据 。 一 个 项 目 阶段 内 各 过 程 的 相互 关系 如 图 2-3 所 示 。 

在 项 目 每 一 个 阶段 都 包括 上 述 基 本 过 程 ,一 个 过 程 在 上 一 个 阶段 的 结束 为 下 一 个 阶段 
的 发 起 提供 依据 。 
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2 


阶段 开始 时 间 


阶段 结束 
2-2 一 个 项 目 阶 段 各 过 程 的 重合 


CCD 
CR 
CC 


2-3 ”一 个 项 目 阶 段 内 各 过 程 的 相互 关系 


2.3.4 项 目 管理 的 要 素 
项 目 管理 有 四 个 要 素 : 范围 (Scope) 、 时 间 (Time) 、 成 本 


Cost) 、 质 量 (Quality)。 对 于 一 个 项 目 来 说 最 理想 的 情况 就 范围 / “时间 
pe 多 . 快 .好 .省 ”。“ 多 ” 指 工作 范围 大 ,“ 快 " 指 时 间 短 ,“ 好 ” ™ 
指 质量 高 ， 和 省" 指 成 本 低 。 但 是 ,这 4 者 之 间 是 相互 关联 的 ， 
提高 一 个 指标 的 同时 会 降低 为 一 个 指标 ,所 以 实际 上 这 种 理 成 本 
想 的 情况 很 难 达 到 。 项 目 管理 的 四 大 要 素 如 图 2-4 所 示 。 2-4 ”项 目 管理 的 四 大 要 素 
1. 范围 


范围 也 称 工作 范围 , 指 为 了 实现 项 目 目 标 必须 完成 的 所 
有 工作 。 一 般 通 过 定义 交付 物 和 交付 物 标准 来 定义 工作 范围 。 工 作 范 围 根据 项 目 目 标 分 解 
得 到 , 它 指 出 了 “完成 哪些 工作 可 以 达到 项 目的 目标 ”, 或 者 说 “完成 哪些 工作 项 目 就 可 以 结 
束 了 ”。 后 一 点 非常 重要 ,如 果 没 有 工作 范围 的 定义 ,项 目 就 可 能 永远 做 不 完 。 要 严格 控制 
工作 范围 的 变化 ,一 旦 失控 就 会 出 现 “ 出 力 不 讨 好 ”的 碍 粹 局 面 : 一 方面 做 了 许多 与 实现 目 
标 无 关 的 额外 工作 ; 另 一 方面 却 因 和 额外 工作 影响 了 原 定 目 标的 实现 ,造成 商业 和 声誉 的 双 

2. 时 间 

与 项 目 时 间 相 关 的 因素 用 进度 计划 描述 ,进度 计划 不 仅 说 明了 完成 项 目 工 作 范 围 内 所 
有 工作 需要 的 时 间 , 也 规定 了 每 个 活动 的 具体 开始 和 完成 日 期 。 项 目 中 的 活动 根据 工作 范 
围 确定 ,在 确定 活动 的 开始 和 结束 时 间 还 要 考虑 它们 之 间 的 依赖 关系 。 
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3. 成 本 


成 本 指 完成 项 目 需 要 的 所 有 于 项 ,包括 人 力 成 本 、 原 材料 \ 设 备 租 金 、 分 包 费 用 和 咨询 费 
用 等 。 项 目的 总 成 本 以 预算 为 基础 ,项 目 结 束 时 的 最 终 成 本 应 控制 在 预算 内 。 特 别 应 注意 
的 是 ,在 IT 项 目 中 人 力 成 本 比例 很 大 ,而 工作 量 又 难以 估计 ,因而 制定 预算 难度 很 大 。 

4. 质量 

质量 指 项 目 满足 明确 或 隐 含 需求 的 程度 。 一 般 通 过 定义 工作 范围 中 的 交付 物 标 准 来 明 
确定 义 这 些 标准 ,包括 各 种 特性 及 这 些 特性 需要 满足 的 要 求 ,因此 交付 物 在 项 目 管理 中 有 重 
要 的 地 位 。 男 外 ,有 了 时 还 可 能 对 项 目的 过 程 有 明确 要 求 ,如 规定 过 程 应 该 体 循 的 规范 和 标 
准 , 并 要 求 提 供 这 些 过 程 得 以 有 效 执行 的 证 据 。 

时 间 、 质 量 成 本 这 三 个 要 素 简 称 TQC(Time Quality Cost) 。 在 实际 工作 中 ,工作 范围 
在 合同 中 定义 ,时 间 通 过 进度 计划 规定 ,成 本 通过 预算 规定 ,而 如 何 确保 质量 在 质量 保证 计 
划 中 规定 。 这 几 份 文件 是 一 个 项 目 立 项 的 基本 条 件 。 一 个 项 目的 工作 范围 和 TQC 确定 
了 ,项 目的 目标 也 就 确定 了 。 如 果 项 目 在 TQC 的 约束 内 完成 了 工作 范围 内 的 工作 ,就 可 以 
说 项 目 成 功 了 。 

综 上 所 述 , 项 目的 成 功 就 是 指 “ 客 户 满意 、 公 司 获 利 ”, 这 取决 于 多 种 因素 ,包括 项 目前 真 
正 了 解 什么 是 客户 的 成 功 ,明确 成 功 的 标准 ; 项 目 中 定义 清晰 工作 范围 和 TQC, 并 按 TQC 
的 约束 完成 工作 范围 ; 项 目 后 帮助 客户 实现 商业 价值 。 只 有 当 客 户 说 项 目 成 功 时 , 才 是 项 
目的 真正 成 功 。 


2.4 小 结 


把 信息 安全 作为 一 个 整体 的 工程 来 进行 研究 ,是 系统 工程 理论 和 方法 影响 作用 的 结果 。 
其 中 ,系统 工程 思想 、 项 目 管理 方法 .质量 管理 体系 都 是 支撑 信息 安全 工程 的 理论 基础 ,车 握 
这 些 理论 基础 ,可 以 更 好 地 理解 信息 安全 工程 思想 。 


站 十 


1. 简 述 系统 的 定义 和 一 般 特 征 。 

2. 为 什么 说 系统 工程 是 一 门 交 义 的 新 兴学 科 ? 

3. 质量 管理 经 历 了 哪些 发 展 阶段 ? 各 阶段 有 何 特 点 ? 
4. 如 何 开展 一 个 IT 项 目的 项 目 管理 ? 
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本 章 学 习 目 标 : 

。 了 解 信 息 系 统 安全 工程 基本 概念 。 

。 了 解 信息 系统 安全 工程 过 程 。 

。 掌握 如 何 基 于 信息 系统 安全 工程 方法 开展 系统 安全 工程 建设 。 


3.1 要 述 


信息 安全 保障 问题 的 解决 既 不 能 只 依靠 纯粹 的 技术 ,也 不 能 只 靠 简 单 的 安全 产品 的 堆 
砌 , 它 要 依赖 于 复杂 的 系统 工程 , 即 信息 安全 工程 。 本 音 主 要 介绍 由 系统 工程 发 展 而 来 ,以 
时 间 维 划 定 工程 元 素 的 方法 学 一 一 信息 系统 安全 工程 。 


3.1.1 信息 系统 安全 工程 的 定义 


1993 年 ,美国 国家 安全 局 制定 的 《信息 系统 安全 工程 手册 》 中 提出 了 ”信息 系统 安全 工 
程 ”(Information Systems Security Engineering,ISSE ) 的 概念 ,并 将 其 定义 为 “侧重 于 信息 
安全 的 应 用 系统 工程 >。 美 国 国家 安全 局 2000 年 制定 的 《国家 信息 系统 安全 术语 表 》 
(NSTISSI No. 4009) 中 ,将 ISSE 描述 为 “在 信息 系统 生命 周期 过 程 中 为 实现 和 维护 系统 最 
优 的 安全 性 和 持续 性 所 做 的 各 种 努力 ”。 现 在 对 ISSE 的 普遍 解释 为 :“ 信 息 系统 安全 工程 
是 采用 工程 的 概念 原理、 技术 和 方法 ,来 研究 、 开 发 .实施 与 维护 信息 系统 安全 的 过 程 ,是 将 
经 过 时 间 考 验证 明 是 正确 的 工程 实践 流程 .管理 技术 和 当前 能 够 得 到 的 最 好 的 技术 方法 相 
结合 的 过 程 ”。 

信息 系统 安全 工程 是 系统 工程 在 安全 空间 的 映射 , 它 的 重点 是 通过 实施 系统 工程 过 程 
来 满足 信息 保护 的 需求 ,信息 系统 安全 工程 将 有 助 于 开发 可 满足 用 户 信 息 保护 需求 的 系统 
产品 和 过 程 解决 方案 ,信息 系统 安全 工程 的 主要 目标 包括 以 下 6 个 方面 。 

(1) 获得 对 企业 安全 风险 的 理解 。 

(2) 根据 已 识别 的 安全 风险 建立 一 组 平衡 的 安全 需求 。 

(3) 将 安全 需求 转换 成 安全 的 策略 ,成 为 信息 系统 建设 基本 原则 ,并 落实 到 项 目 实施 中 
的 各 个 科目 活动 、 系 统 配置 或 运行 的 定义 中 。 

(4) 通过 正确 有 效 的 安全 机 制 建立 抵御 安全 威胁 和 系统 正常 运营 的 保证 。 

(5) 动态 监测 和 判断 系统 中 和 系统 运行 时 出 现 的 安全 隐患 和 突 发 事件 ,并 及 时 按 预 先 
指定 的 方案 ,启动 紧急 事故 处 理 程序 进行 处 理 和 追踪 ,遏制 危险 的 发 生 和 章 延 ,使 系统 免除 
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损失 或 控制 在 可 控制 范围 之 内 。 
(6) 将 所 有 科目 和 专业 活动 集成 为 一 个 具有 共识 的 系统 安全 可 信和 性 工程 。 


3.1.2 信息 系统 安全 工程 与 系统 工程 的 关系 


系统 工程 是 信息 系统 安全 工程 的 基础 ,通常 系统 工程 可 以 分 为 发 掘 需求 、 定 义 系统 、 设 
计 系 统 和 实施 系统 4 个 阶段 ,在 这 4 个 阶段 的 执行 过 程 中 还 需要 有 阶段 性 评估 。 信 息 系统 
安全 工程 是 系统 工程 的 一 部 分 ,是 系统 工程 的 基本 原理 在 信息 安全 领域 内 的 具体 应 用 , 它 也 
分 为 发 掘 信息 保护 需求 .定义 信息 保护 系统 .设计 信息 保护 系统 和 实施 信息 保护 系统 4 个 阶 
段 ,每 个 阶段 还 可 以 进一步 细 分 ,在 这 4 个 阶段 的 执行 过 程 中 同样 还 必须 有 阶段 性 评估 ,以 
保证 执行 效果 。 
具体 来 说 ,一 个 信息 系统 安全 工程 包括 发 掘 信息 保护 需求 ,定义 信息 保护 系统 .设计 信 
息 保 护 系统 、 实 施 信息 保护 需求 以 及 评估 信息 保护 系统 几 个 步 又。 信息 系 统 安全 工程 
(ISSE) 与 系统 工程 (SE) 的 对 应 关系 如 图 3-1 所 示 。 
ISSE SE 
发 气 信 息 保护 需求 | 一》 
定义 信息 保护 系统 | 呈 一 > 
设计 信息 保护 系统 | 一 》 
实施 信息 保护 需求 | 一 > 
评估 信息 保护 系统 | 呈 一 > 
图 3-1 信息 系统 安全 工程 与 系统 工程 的 对 应 关系 
对 系统 而 言 ,ISSE 过 程 和 SE 过 程 要 同步 考虑 : 即 在 相应 的 阶段 同时 考虑 信息 保护 的 
目标 .需求 功能、 体系 结构 .设计 测试 与 实施 ,使 得 信息 保护 得 以 优化 。 它 们 的 具体 区 别 如 
表 3-1 所 示 。 


表 3-1 SE 过 程 与 ISSE 过 程 的 区 别 


SE 过 程 ISSE 过 程 
发 掘 需求 发 掘 信息 保护 需求 
系统 工程 师 要 帮助 客户 理解 并 记录 用 来 支持 信息 系统 安全 工程 师 要 帮助 客户 理解 用 来 支 
其 业务 或 使 命 的 信息 管理 的 需求 ,信息 需求 说 明 可 | 持 其 业务 或 使 命 的 信息 保护 的 需求 。 信 息 保护 需 
以 在 信息 管理 模型 (Information Management Model，| 求 说 明 可 以 在 信息 保护 策略 (Information Protection 
IMM) 中 记录 Policy,IPP) 中 记录 
定义 系统 定义 信息 保护 系统 
系统 工程 师 要 向 系 统 中 分 配 已 经 确定 的 需求 。 
应 标识 出 系统 的 环境 ,并 说 明 系统 功能 对 该 环境 的 信息 系统 安全 工程 师 要 将 信息 保护 需求 分 配 
分 配 。 要 写 出 概要 性 的 系统 运行 概念 (Concept of | 到 系统 中 。 系 统 安 全 的 背景 环境 、 概 要 性 的 系统 
Operations,CONOPS) ,描述 待 建 系统 的 运行 情况 。| 安全 CONOPS 以 及 基线 安全 要 求 均 应 得 到 确定 
要 建立 起 系统 的 基线 要 求 


SE 过 程 
设计 系统 
(1) 设计 系统 体系 结构 
系统 工程 师 应 该 分 析 符 建 系统 的 体系 结构 , 完 
成 功能 的 分 析 和 分 配 , 同 时 分 配 系统 的 要 求 , 并 选 
择 相 关机 制 。 系 统 工程 师 还 应 确定 系统 中 的 组 件 
或 要 素 ,将 功能 分 配给 这 些 要 素 , 并 描述 这 些 要 素 
间 的 关系 。 
(2) 开展 详细 设计 
系统 工程 师 应 分 析 系 统 的 设计 约束 和 均衡 取 
舍 ,完成 详细 的 系统 设计 ,并 考虑 生命 周期 的 支持 。 
系统 工程 师 应 将 所 有 的 系统 要 求 跟踪 至 系统 组 件 ， 
直至 无 一 遗漏 。 最 终 的 详细 设计 结果 应 反映 出 组 
件 和 接口 规范 ,为 系统 实现 时 的 采 办 工作 提供 充分 
的 信息 


实施 系统 

系统 工程 师 将 系统 从 规范 变 为 现实 ,该 阶段 的 
主要 活动 包括 采 办 、 集 成 .配置 测试 .记录 和 培训 。 
系统 的 各 组 件 要 接受 测试 和 评估 ,以 确保 它们 能 够 
满足 规范 。 成 功 的 测试 之 后 ,各 组 件 一 一 硬件 、 软 
件 、 固 件 要 进行 集成 和 正确 的 配置 ,并 作为 一 个 系 
统 接受 整体 测试 

评估 有 效 性 

各 项 活动 的 结果 要 接受 评估 ,以 确保 系统 能 够 
满足 用 户 的 需求 ,系统 在 一 个 预期 环境 中 实现 了 期 
望 的 功能 ,并 达到 了 一 个 需要 的 质量 标准 。 系 统 工 
程 师 要 检查 系统 对 任务 需求 的 满足 程度 


3.2 
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续 表 
ISSE 过 程 
设计 信息 保护 系统 


(1) 设计 系统 安全 体系 结构 

信息 系统 安全 工程 师 要 与 系统 工程 师 合 作 ， 
一 起 分 析 待 建 系统 的 体系 结构 ,完成 功能 的 分 析 
和 分 配 ,同时 分 配 安全 服务 ,并 选择 安全 机 制 。 信 
息 系 统 安全 工程 师 还 应 确定 安全 系统 的 组 件 或 要 
素 ,将 安全 功能 分 配给 这 些 要 素 , 并 描述 这 些 要 素 
间 的 关系 。 

(2) 开展 详细 的 安全 设计 

信息 系统 安全 工程 师 应 分 析 设 计 约 束 和 均衡 
取舍 ,完成 详细 的 系统 和 安全 设计 ,并 考虑 生命 周 
期 的 支持 。 信 息 系 统 安全 工程 师 应 将 所 有 的 系统 
安全 要 求 跟 踪 至 系统 组 件 , 直 至 无 一 遗漏 。 最 终 
的 详细 安全 设计 结果 应 反映 出 组 件 和 接口 规范 ， 
为 系统 实现 时 的 采 办 工作 提供 充分 的 信息 


实施 信息 保护 需求 
信息 系统 安全 工程 师 要 参与 到 对 所 有 的 系统 
问题 进行 的 多 学 科 检 查 之 中 ,并 向 C&A 过 程 活 
动 提供 输入 ,例如 检验 系统 是 否 已 经 针对 先前 的 
威胁 评估 结果 实施 了 保护 ; 跟踪 系统 实现 和 测试 
活动 中 的 信息 保护 保障 机 制 ; 向 系统 的 生命 周期 
支持 计划 .运行 流程 以 及 维护 培训 材料 提供 输入 
评估 信息 保护 系统 


信息 系统 安全 工程 师 要 关注 信息 保护 的 有 效 
性 一 一 系统 是 否 能 够 为 其 使 命 所 需 的 信息 提供 保 
密 性 完整 性 、 可 用 性 、 认 证 和 不 可 否认 性 


信息 系统 安全 工程 过 程 


3.2.1 发 所 信息 保护 需求 


ISSE 的 过 程 始 于 审视 用 户 的 任务 需求 .相关 政策 、 规 定 、 标 准 以 及 用 户 环 境 中 的 信息 系 
统 威胁 。ISSE 随后 要 确定 信息 系统 和 信息 的 用 户 是 谁 \ 与 其 他 信息 系统 和 信息 进行 交互 的 
状态 如 何 , 以 及 在 信息 保障 系统 生命 周期 的 每 个 阶段 ,它们 的 角色 、 职 责 和 授权 是 什么 。 信 
息 保障 需求 应 当 来 自用 户 的 观点 ,而 不 应 过 度 受 限于 信息 设计 或 实施 的 限制 。 

发 掘 信息 保护 需求 要 考虑 以 下 方面 。 

(1) 考虑 对 所 要 完成 任务 的 信息 保护 需求 。 

(2) 擎 握 对 信息 系统 的 威胁 。 
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(3) 考虑 信息 保障 政策 。 
发 掘 信息 保障 需求 过 程 和 主体 如 图 3-2 所 示 。 
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避 一 熙 将 赠 上 由 耻 下 : 


3-2 发 掘 信 息 保 障 需 求 过 程 和 主体 


1. 考虑 对 所 要 完成 任务 的 信息 保护 需求 

ISSE 首先 需要 考虑 系统 任务 可 能 受到 的 各 方面 的 影响 (包括 人 的 因素 和 系统 的 因素 )， 
以 及 可 能 造成 的 各 方面 的 损失 ,例如 泄密 数据 被 自 改 、 服 务 不 可 用 、 操 作 抵 赖 等 。 用 户 通 常 
都 知晓 其 所 需要 的 任务 信息 的 重要 性 ,但 在 确定 这 些 信息 需要 何 种 保护 ,以 及 达到 怎样 的 保 
护 级 别 时 ,可 能 会 一 筹 莫 展 。 为 了 科学 地 了 解 任务 的 信息 保护 需求 ,ISSE 需要 做 的 工作 
如 下 。 

(1) 帮助 用 户 对 信息 处 理 的 过 程 建 模 。 

(2) 帮助 用 户 定 义 对 信息 的 各 种 威胁 。 

(3) 帮助 用 户 确 定 信 息 的 保护 次 序 和 等 级 。 

(4) 制定 信息 保护 策略 。 

(5) 与 用 户 协 调 、 达 成 一 致 。 

与 用 户 进 行 交互 是 ISSE 的 必 不 可 少 的 环节 ,在 标识 信息 系统 和 信息 的 具体 用 户 ,标识 
用 户 与 信息 系统 和 信息 的 交互 作用 的 实质 .用 户 在 信息 保护 生命 周期 各 阶段 的 角色 责任 和 
权力 的 基础 上 ,评估 信息 和 系统 对 任务 的 重要 性 ,并 确保 任务 需求 中 包含 了 信息 保护 的 需 
求 、 系统 功能 中 包含 了 信息 保护 的 功能 。 

这 个 环节 要 达到 的 目标 是 : 一 份 满足 用 户 在 资金 安全 .性 能 .时 间 等 各 方面 要 求 的 信 
息 系 统 保护 框架 ,其 中 至 少 要 包含 以 下 几 个 方面 。 

(1) 被 处 理 的 信息 是 什么 ? 属于 何 种 类 型 ( 涉 密 信 息 、 金 融 信 息 、 个 人 隐私 信息 等 )? 

(2) 谁 有 权 处 理 ( 初 始 化 、 查 看 修改、 删除 等 ) 这 些 信息 ? 

(3) 授权 用 户 如 何 履 行 其 职责 ? 

(4) 授权 用 户 使 用 何 种 工具 (人 硬件 软件 、 固 件 、 文 档 等 ) 进 行 处 理 ? 

(5) 用 户 行 为 是 否 需 要 监督 (不 可 否认 )? 

在 这 个 环节 ,ISSE 的 工作 需要 用 户 的 全 程 参 与 ,共同 研究 信息 系统 的 角色 ,使 信息 系统 
更 好 地 满足 用 户 的 任务 要 求 。 

2. 掌握 对 信息 系统 的 威胁 


定义 信息 面临 的 威胁 是 "发掘 信息 保护 需求 ”的 一 项 关键 活动 。“ 威 胁 ? 是 指 可 能 造成 茶 
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个 结果 的 事件 或 对 系统 造成 危害 的 潜在 事实 。 对 信息 管理 的 威胁 ,是 指 可 以 利用 信息 系统 
的 脆弱 性 ,可 能 造成 某 个 有 害 结果 的 事件 或 对 信息 系统 造成 危害 的 潜在 事实 。 

ISSE 需要 在 用 户 的 帮助 下 ,准确 .详尽 地 定义 出 信息 系统 在 设计 生产、 使用、 维护 以 及 
销毁 的 过 程 中 可 能 受到 的 威胁 ,并 针对 这 些 威胁 提出 相应 策略 。 

分 析 信 息 系 统 面临 的 安全 威胁 ,可 以 从 以 下 几 个 方面 人 手 。 

(1) 检测 恶意 攻击 。 指 检测 人 为 的 、 有 目的 性 的 破坏 行为 ,这 些 破坏 行为 分 为 主动 和 被 
动 两 种 。 主 动 攻 击 是 指 以 各 种 方式 有 选择 性 地 破坏 信息 ,例如 欺骗 ,修改 、 删 除 、 否 决 、 伪 造 、 
信息 泄露 、 拒 绝 服务 、 提 升 权 限 等 ; 被 动 攻击 是 指 在 不 干扰 系统 正常 工作 的 情况 下 ,进行 俩 
听 截获 窃取、 破译 等 。 

(2) 了 解 安全 缺陷 。 指 了 解 信息 系统 本 和 号 存在 的 一 些 安全 缺陷 ,包括 网 络 便 件 、 通 信和 链 
路 人员 和 素质、 安全 标准 等 原因 引起 的 安全 缺陷 。 

(3) 擎 握 软 件 漏 洞 。 因 为 软件 的 复杂 性 和 编程 方法 的 多 样 性 ,导致 软件 中 有 意 或 无 意 
留 下 了 一 些 漏 洞 ,例如 操作 系统 的 安全 漏洞 `\TCP/IP 协议 的 漏洞 、 网 络 服务 的 漏洞 等 。 

(4) 分 析 结 构 隐 患 。 主 要 是 指 网 络 拓扑 结构 的 安全 隐 吓 ,因为 诸如 总 线 . 星 状 、 环 状 、 树 
状 等 结构 都 有 各 自 的 优 缺 点 ,都 存在 相应 的 安全 隐患 。 

分 析 信 息 的 威胁 主体 ,应 该 涉及 以 下 几 个 方面 。 

(1) 威胁 主体 的 动机 或 意图 。 

(2) 威胁 主体 的 能 力 。 

(3) 威胁 或 攻击 的 途径 。 

(4) 主体 及 威胁 存在 的 可 能 性 。 

(5) 影 啊 或 后 果 。 

3. 考虑 信息 保障 政策 

在 了 解 了 信息 保护 需求 并 掌握 了 系统 面临 的 威胁 之 后 ,ISSE 需要 考虑 信息 保障 政策 ， 
并 制定 出 相关 的 信息 安全 策略 。 

策略 是 指 以 正式 形式 出 现 的 ,经 管理 层 同 意 和 批准 的 ,规定 了 组 织 行为 方向 和 行为 自由 
程度 的 途径 ,或 者 说 策略 是 管理 层 对 某 个 主题 有 关 意 见 的 一 种 陈述 形式 。 信 息 安全 策略 是 
一 组 规则 ,这 组 规则 描述 了 一 个 组 织 要 实现 的 信息 安全 目标 和 实现 这 些 信息 安全 目标 的 
途径 。 

从 管理 角度 看 ,信息 安全 策略 是 一 个 组 织 关 于 信息 安全 的 文件 ,是 一 个 组 织 关 于 信息 安 
全 的 基本 指导 规则 。 它 通常 由 组 织 最 高 管理 层 批准 ,在 整个 组 织 内 发 布 。 其 目标 在 于 减少 
信息 安全 事故 的 发 生 , 将 信息 安全 事故 的 影响 与 损失 降低 到 最 小 。 信 息 安 全 策略 必须 由 高 
层 管理 机 构 批准 并 颁布 ,在 策略 的 贯彻 过 程 中 ,应 该 使 每 个 参与 者 都 能 够 理解 策略 ,并 且 理 
解 为 相同 的 含义 。 如 果 策 略 在 某 些 地 方 不 能 得 到 贯彻 , 则 一 定 要 让 其 他 参与 者 都 知道 这 样 
做 的 后 果 。 信 息 安 全 策略 是 分 层 的 ,一 旦 制定 后 ,高 层 的 策略 一 般 是 不 会 改变 的 ,而 下 层 的 
局 部 策略 可 以 根据 具体 情况 而 定 , 但 不 能 与 更 高 层 的 信息 安全 策略 及 其 他 有 关 政 策 相 违背 。 
制定 策略 的 时 候 需 要 全 面 考 虑 相关 的 国家 政策 ,法规 .标准 和 惯例 等 。 为 达成 这 个 目标 , 策 
略 制定 小 组 不 仅 需 要 系统 工程 师 ISSE 工程 师 . 用 户 代 表 , 还 需要 信用 机 构 、 认 证 机 构 .设计 
专家 ,甚至 是 政府 机 构 的 参与 。 

信息 安全 策略 中 需要 具体 定义 出 要 保护 什么 、 用 什么 方法 保护 、 如 何 保 护 ,需要 确定 以 
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下 几 方 面 的 内 容 。 
(1) 法 律 和 法 规 。 所 要 遵循 的 相关 法 律 和 法 规 的 要 求 。 
(2) 信息 保护 的 内 容 和 目标 。 确 定 要 保护 的 所 有 信息 资源 ,以 及 它们 的 重要 性 、 所 面临 
的 主要 威胁 和 需要 达到 的 保护 等 级 。 
(3) 信息 保护 的 职责 落实 办 法 。 明 确 各 组 织 、 机 构 或 部 门 的 信息 安全 保护 的 责任 和 
(4) 实施 信息 保护 的 方法 。 确 定 保 护 信息 系统 中 的 各 种 信息 资源 的 具体 方法 。 
(5) 事故 的 处 理 。 包 括 应 急 响 应 、 数 据 恢复 等 措施 ,以 及 相应 的 奖惩 条 款 、 监 督 机 制 等 。 


3.2.2 定义 信息 保护 系统 


ISSE 将 定义 信息 保护 系统 将 要 做 什么 \、 信 息 保护 系统 执行 其 功能 的 情况 如 何 , 以 及 信 
息 保 护 系 统 的 内 部 和 外 部 接口 。 和 定义 信息 保护 系统 的 活动 时 ,用 户 对 于 信息 保障 需求 和 信 
息 系 统 环境 的 描述 要 被 转换 成 目标 、 要 求 和 功能 ,这 一 工作 是 要 定义 需要 建立 什么 样 的 信息 
保障 系统 \ 信 息 保障 系统 如 何 实现 良性 地 运行 ,并 定义 信息 保障 系统 的 内 /外 部 接口 ,包括 以 
下 内 容 。 

(1) 确定 信息 保障 目标 。 

(2) 摘 述 系统 内 部 关联 和 环境 。 

(3) 检查 信息 保障 要 求 。 

(4) 功能 分 析 。 

1. 确定 信息 保障 目标 

信息 保障 目标 与 通常 的 系统 对 象 具 有 相同 的 特性 ,例如 对 于 信息 保护 需求 的 明确 性 、 可 
测量 性 、 可 验证 性 、 可 追 踊 性 等 。 确 定 信 息 保护 对 象 ,要 保证 它们 的 这 些 有 效 性 度量 
(Measure of Effectiveness, MoE) 性 质 , 在 描述 每 个 对 象 时 需要 说 明 以 下 问题 。 

(1) 信息 保障 目标 支持 系统 中 的 什么 任务 对 象 。 

(2) 有 哪些 与 信息 保护 目标 和 任务 相关 的 威胁 。 

(3) 失去 目标 会 有 什么 后 果 。 

(4) 受 什么 样 的 信息 保护 策略 或 方针 的 支持 。 

2. 描述 系统 内 部 关联 和 环境 

在 信息 安全 工程 中 ,系统 联系 对 于 确定 系统 边界 并 实施 保护 是 很 重要 的 ,任务 目标 、 任 
务 信息 处 理 、 系统 威胁 信息 安 全 策略 .设备 等 都 极 大 地 影 啊 着 系统 边界 与 环境 ,因此 ,描述 
系统 内 部 关联 和 环境 需要 做 以 下 工作 。 

(1) 在 系统 的 任务 处 理 过 程 .与 其 他 系统 和 环境 之 间 ,确定 物理 的 和 逻辑 的 边界 。 

(2) 描述 信息 的 输入 和 输出 、 系 统 与 环境 之 间或 与 其 他 系统 之 间 的 信号 与 能 量 的 双 问 
流动 情况 。 

3. 检查 信息 保障 要 求 

ISSE 的 系统 信息 保障 要 求 检查 任务 是 对 上 述 过 程 中 的 分 析 ( 包 括 目标 、 任 务 .威胁 、 系 
统 联系 等 ) 进 行 特征 检查 。 当 信息 保护 需求 从 最 初 的 信息 保障 的 用 户 愿 望 , 经 过 充分 定义 ， 
并 演变 为 一 系列 的 系统 保护 规范 时 ,信息 保护 的 需求 能 力 可 能 出 现 缺 失 , 因 此 ,需要 检查 信 
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息 保 护 需求 的 正确 性 、 完 整 性 一致 性 .依赖 性 .无 冲突 和 可 测试 性 等 特征 。 

4. 功能 分 析 

ISSE 使 用 许多 系统 工程 工具 来 理解 信息 保护 功能 ,并 将 功能 分 配给 系统 中 各 种 信息 保 
护 的 配置 项 。 在 定义 信息 保护 系统 中 ,对 功能 进行 分 析 , 必 须 分 析 备 选 系 统 体 系 结构 \ 信 息 
保护 配置 项 ,以 及 信息 保护 子 系统 是 如 何 成 为 整个 系统 的 一 部 分 ,这 些 功 能 是 否 能 达到 原本 
设 定 的 目标 ,并 理解 它们 如 何 才能 与 整个 系统 协调 工作 。 


3.2.3 设计 信息 保护 系统 


明确 目标 系统 后 ,将 构造 信息 系统 的 体系 结构 ,详细 说 明 信 息 保护 系统 的 设计 方案 。 这 
时 ISSE 工程 师 要 进行 如 下 工作 。 

(1) 功能 分 配 。 

(2) 信息 保护 预 设计 。 

(3) 详细 信息 保护 设计 。 

1. 功能 分 配 

当 某 种 系统 功能 被 定位 到 人 、 软 件 、 人 硬件 或 固件 上 后 ,同时 也 就 附 上 了 相对 应 的 信息 保 
护 功 能 。ISSE 应 该 为 系统 制定 一 个 理论 和 实践 上 都 可 行 的 .协调 一 致 的 信息 保护 系统 体系 
构 染 。 功 能 分 配 过 程 包括 以 下 内 容 。 

(1) 提炼 验证 并 检查 安全 要 求 与 威胁 评估 的 技术 原理 。 

(2) 确保 一 系列 的 低层 要 求 能 够 满足 系统 级 的 要 求 。 

(3) 完成 系统 级 体系 结构 .配置 项 和 接口 定义 。 

2. 信息 保护 预 设 计 

在 需求 和 构架 已 经 确定 的 前 提 下 ,ISSE 进入 了 信息 保护 的 预 设计 阶段 。 在 这 一 阶段 ， 
ISSE 工程 师 将 制定 出 系统 建造 的 规范 ,其 中 至 少 包 括 以 下 内 容 。 

(1) 检查 、 细 化 并 改进 前 期 需求 和 和 定义 的 成 果 , 特 别 是 配置 项 的 定义 和 接口 规范 。 

(2) 从 现 有 解决 方案 中 找到 与 配置 项 一 致 的 方案 ,并 验证 是 否 满 足 高 层 信息 保护 要 求 。 

(3) 加 入 系统 工程 过 程 , 并 文 持 认证 /认可 和 管理 决策 ,提出 风险 分 析 结 果 。 

3. 详细 信息 保护 设计 

进一步 完善 配置 及 方案 , 细 化 底层 产品 规范 ,检查 每 个 细节 规范 的 完整 性 .兼容 性 、 可 

验证 性 、 安 全 风险 和 可 追踪 性 等 。 详 细 设 计 包 括 以 下 内 容 。 

(1) 检查 、 细 化 并 改进 预 设计 阶段 的 成 果 。 

(2) 对 解决 方案 提供 细节 设计 资料 ,以 文 持 系 统 层 和 配置 层 的 设计 。 

(3) 检查 关键 设计 的 原理 和 合理 性 。 

(4) 设计 信息 保护 测试 与 评估 程序 。 

(5) 实施 并 追踪 信息 保护 的 保障 机 制 。 

(6) 检验 配置 层 设计 与 上 层 方案 的 一 致 性 。 

(7) 提供 各 种 测试 数据 。 

(8) 检查 和 更 新 信息 保护 的 风险 与 威胁 计划 。 

(9) 加 入 系统 工程 过 程 , 并 文 持 认证 /认可 和 管理 决策 ,提出 风险 分 析 结 果 。 
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3.2.4 实施 信息 保护 需求 


这 一 活动 的 目标 是 建立 `. 采 购 、 集 成 、 核 实 和 验证 各 个 信息 保障 的 子 系统 ,包括 按照 计划 
更 新 对 于 系统 信息 保障 威胁 的 评估 ,以 及 对 于 系统 运作 状况 的 评估 ; 核实 系统 信息 保障 要 
求 以 及 实施 解决 方案 的 限制 ; 跟踪 、 参 与 和 应 用 信息 保障 担保 机 制 ; 考查 系统 运行 过 程 的 
进展 情况 ,包括 生命 周期 的 支持 计划 ; 一 套 正式 的 信息 保障 评估 系统 ; 对 于 验证 和 鉴定 过 
程 的 活动 进一步 增加 内 容 ; 参与 集体 的 、 多 学 科 的 综合 检查 。 

具体 内 容 包 括 以 下 三 个 阶段 。 

(1) 采购 部 件 。 

(2) 建设 系统 。 

(3) 测试 系统 。 

1. 采购 部 件 

一 般 来 说 ,要 根据 市 场 产 品 的 研究 、 偏 好 和 最 终 的 效果 ,来 决定 是 以 购买 还 是 自行 生产 
的 方式 来 取得 部 件 。 购 买 /生产 的 决定 应 该 通盘 考虑 安全 因素 、 可 操作 性 性能、 成 本 .进度 、 

风险 等 影响 。 在 购买 时 ,对 于 大 量 生产 且 相 对 低 成 本 的 商业 现货 供应 (Commercial off the 
Shelf,COTS) 和 由 政府 机 构 创 建 的 技术 团体 开发 的 政府 现货 供应 (Government off the 
Shelf ,GOTS) 等 都 可 作为 部 件 采 购 的 考虑 范围 。 在 采购 部 件 时 ,要 注意 考虑 以 下 因素 。 

(1) 确保 考虑 了 全 部 相关 的 安全 因素 。 

(2) 查看 现 有 产品 是 否 能 满足 系统 部 件 的 需求 ,最 好 有 多 种 产品 可 供 选 择 。 

(3) 验证 一 系列 潜在 的 可 行 性 选项 。 

(4) 考虑 将 来 技术 的 发 展 , 新 技术 和 新 产品 如 何 运用 到 系统 中 去 。 

2. 建设 系统 


建设 系统 的 过 程 ,是 确保 已 设计 出 必要 的 保护 机 制 , 并 使 该 机 制 在 系统 实施 中 得 以 实 
现 。 与 许多 系统 一 样 ,信息 保护 系统 也 会 受到 许多 因素 的 影响 来 加 强 或 削弱 其 效果 ,这 些 因 
素 决 定 了 信息 保护 对 系统 的 适宜 程度 。 所 以 ,在 建设 系统 中 ,要 重视 以 下 问题 。 

(1) 部 件 的 集成 是 否 满足 系统 安全 规范 。 

(2) 部 件 的 配置 是 否 保证 了 必要 的 安全 特性 ,以 及 安全 参数 能 否 正 确 配置 以 便 提 供 所 
要 求 的 安全 服务 。 

(3) 对 设备 、 部 件 是否 有 物理 安全 保护 措施 。 

(4) 组 装 、 建 造 系 统 的 人 员 是 否 对 工作 流程 有 足够 的 知识 和 权限 。 

3. 测试 系统 


ISSE 要 给 出 一 些 与 信息 保护 相关 的 测试 计划 和 工作 流程 ,还 要 给 出 相关 的 测试 实例 、 
工具 、 软 便 件 等 。 这 些 测 试 系统 的 工作 包括 以 下 内 容 。 

(1) 检查 、 细 化 并 改进 设计 信息 安全 系统 的 阶段 结果 。 

(2) 检验 解决 方案 的 信息 保护 需求 和 约束 限制 等 条 件 , 并 实施 相关 的 系统 验证 和 确认 
机 制 与 决策 。 

(3) 跟 踊 实施 与 系统 实施 和 测试 相关 的 系统 保障 机 制 。 

(4) 鉴别 测试 数据 的 可 用 性 。 
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(5) 提供 安全 支持 计划 ,包括 人 逻辑 上 的 、 有 关 维 护 和 培训 等 方面 。 
(6) 加 入 系统 工程 过 程 , 并 支持 认证 /认可 和 管理 决策 ,提出 风险 分 析 结 果 ，。 
3.2.5 评估 信息 保护 有 效 性 
ISSE 集中 于 信息 保障 系统 的 有 效 性 ,主要 是 指 系 统 在 保密 性 ,完整 性 、 可 用 性 、 不 可 否 


认 性 等 安全 特性 方面 的 有 效 性 。 如 果 系 统 在 这 些 方面 达 不 到 要 求 , 信 息 系 统 安全 工程 的 任 
务 则 很 难 达 到 用 户 的 满意 。 
有 效 性 评 佑 要 注意 以 下 几 点 。 


(1) 系统 的 互 操作 安全 性 , 即 系统 是 否 通 过 外 部 接口 正确 地 保护 了 信息 。 

(2) 系统 的 可 用 性 , 即 系统 是 否 能 给 用 户 提 供 信 息 资 源 与 信息 保护 。 

(3) 用 户 需 要 接受 什么 样 的 培训 才能 正确 地 操作 和 维护 信息 保护 系统 。 

(4) 人 机 界面 或 接口 是 否 有 缺陷 ,从 而 导致 出 错 。 

(5) 建造 和 维护 信息 系统 的 成 本 是 否 可 以 接受 。 

(6) 确定 风险 和 可 能 的 任务 影响 ,并 提供 报告 。 

要 在 多 项 活动 中 评估 信息 保护 的 有 效 性 : 发 掘 信息 保护 需求 ,定义 系统 安全 要 求 ,定义 
系统 安全 体系 结构 ,开展 详细 的 安全 设计 以 及 实现 系统 安全 。 


3.3 ”基于 ISSE 的 公文 流转 系统 安全 解决 方案 


公文 流转 系统 就 是 利用 网 络 传送 工作 文件 ,将 工作 流转 化 为 电子 信息 流 , 实 现 发 文 、 收 
文 .签发 .审批 等 行政 事务 信息 化 , 它 的 目的 在 于 推进 各 部 门 办 公 日 动 化 .网 络 化 .电子 化 , 通 
过 信息 及 通信 技术 的 应 用 ,改变 目前 各 部 门 之 间 传 统 的 手工 公文 流转 方式 ,突破 时 间 与 地 域 
限制 ,使 成 员 之 间 真 正 通过 电子 化 渠道 进行 沟通 ,提高 工作 效率 ,从 而 为 进一步 实现 信息 化 
打下 良好 基础 。 


3.3.1 公文 流转 系统 概述 


公文 管理 是 各 企 事 业 单 位 最 繁杂 的 一 项 工作 ,不 仅 工 作 量 非常 大 而 且 公 文 种 类 也 很 多 ， 
它 主 要 包括 议案 .请 示 、 工作 报告 .通报 .通知 公告、 图 件 、 工 作 总 结 等 。 收 文 管理 和 发 文 管 
理 是 公文 流转 系统 的 核心 功能 ,此 安全 解决 方案 主要 针对 收文 管理 和 发 文 管理 过 程 中 的 安 
全 问题 展开 。 

收文 管理 包括 收文 登记 收文 拟 办 、 核 签 、 审 核 、 批 示 、 批 复 意 见 填报 、 收 文 办 理 、 归 档 等 
工作 。 收 文登 记 时 自动 编制 收文 号 ,可 以 选择 模板 或 以 附件 形式 新 建 公文 。 根 据 收 文 流程 
自动 进行 公文 流转 。 收 文 办 理 人 可 以 查看 正文 和 历史 处 理 流程 .意见 ,收文 流程 如 图 3-3 
所 示 。 

发 文 管理 完成 发 文 工 作 中 的 全 部 业务 工作 。 在 发 文 管理 中 文件 由 起 草 部 门 进 行 正 式 的 
拟稿 ,然后 通过 工作 流 送 交 部 门 负责 人 复核 ,在 核 稿 完成 后 , 送 交 主管 领导 审批 并 提交 主管 
领导 签发 ,完毕 后 返回 经 办 人 ,由 经 办 人 清 稿 后 发 给 办 公 室 进行 分 发 传阅 ,全 部 阅 示 完毕 后 
文件 归档 。 发 文 流程 如 图 3-4 所 示 。 


1411 


《收文 流程 》 


(分 管 领导 》 | 《科室 、 部 门 ) 


办 理 、 传 阅 


“发文 流程 》 


《起 草 人 》 《科室 审核 》 | 《分 管 领 导 〉 | 《主管 领导 / 办公室》 
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从 发 文 管理 与 收文 管理 的 具体 流程 不 难 发 现 ,公文 流转 强调 一 级 一 级 处 理 的 流程 ,不 能 
越级 也 不 能 回转 ,因此 访问 控制 是 流程 正常 运行 的 关键 ; 公文 流转 需要 参与 角色 具有 相应 
的 权限 才能 进行 既定 的 操作 ,由 此 可 见 身 份 认 证 也 是 一 个 必 不 可 少 的 环节 ,此 外 ,公文 传输 
过 程 中 的 安全 问题 ,也 是 一 个 不 容 忽视 的 环节 。 


3.3.2 安全 需求 分 析 

1. 公文 流转 系统 的 特点 

公文 流转 系统 包括 了 公文 的 上 传 .审批 .下 达 、 查 阅 等 环节 ,是 一 种 特殊 的 管理 信息 系 
统 。 公 文 流转 系统 能 根据 用 户 提出 的 公文 流程 ,对 整个 工作 流程 进行 实时 跟踪 ,对 修改 审核 
的 信息 进行 记录 ,并 能 根据 有 关 规 定 自动 地 报告 公文 在 流转 过 程 中 的 状态 。 其 特点 主要 体 
现在 以 下 几 个 方面 。 

(1) 公文 流转 系统 处 理 的 是 公文 ,涉及 的 往往 是 一 些 非 结 构 化 数据 ,没有 结构 、 类 型 等 
方面 的 规定 ,不同 的 公文 有 不 同 的 处 理 流程 。 

(2) 公文 流转 系统 是 集中 式 与 分 布 式 的 混搭 。 公 文集 中 存储 在 服务 器 上 ,在 应 用 程序 
驱动 下 ,在 公文 处 理 的 各 个 环节 流转 。 关 于 公文 处 理 终端 功能 ,有 些 需要 能 文 持 在 本 地 进行 
扫描 、 编 辑 等 公文 处 理 , 应 用 分 布 式 ,有 些 只 需要 支持 批阅 公文 ,需要 集中 式 。 

(3) 公文 流转 系统 中 公文 的 安全 级 别 不 同 。 公 文 流转 系统 应 用 于 许多 的 办 公 部 门 ,每 
个 部 门 的 工作 人 员 的 权限 应 该 是 不 同 的 。 公 文 流 转 过 程 中 针对 不 同 层次 ,级别 的 办 公 人 员 
而 言 ,公文 的 保密 程度 不 同 。 

(4) 公文 流转 系统 是 一 种 综合 性 的 管理 系统 ,人 员 之 间 的 协同 工作 在 系统 处 理 过 程 中 
表现 尤为 重要 ,公文 流转 过 程 中 每 个 经 手 的 人 员 或 者 部 门 的 权限 应 该 不 同 。 用 户 可 以 预先 
定义 公文 的 处 理 流程 及 相应 权限 ,只 有 具有 相应 权限 的 人 员 才 可 以 进行 公文 的 在 线 处 理 。 

2. 确定 威胁 类 别 及 所 带 来 的 影响 

威胁 分 析 是 安全 需求 挖掘 中 有 决定 意义 的 一 步 , 只 有 确定 威胁 的 种 类 ,才能 针对 特定 的 
威胁 种 类 定义 出 特定 的 安全 策略 ,制定 有 效 的 安全 方法 。 对 于 整个 公文 流转 系统 ,所 受 的 威 
胁 主 要 来 自 于 以 下 两 个 方面 。 

1) 使 用 网 络 访问 的 人 

(1) 来 自 系 统 内 部 人 员 的 威胁 。 一 方面 ,可 能 由 于 员工 对 于 系统 的 安全 操作 要 求 不 达 
标 , 从 而 导致 系统 运行 无 法 达到 安全 标准 ,还 有 用 户 的 不 安全 的 使 用 习惯 导致 的 系统 的 不 安 
全 ; 另 一 方面 ,可 能 由 于 员工 有 意 恶 意 操作 导致 系统 的 不 安全 。 

(2) 来 日 系统 外 部 人 员 的 威胁 。 由 于 系统 内 部 的 有 些 公 文具 有 一 定 的 价值 ,导致 系统 
外 部 人 员 对 系统 发 起 攻击 ,从 而 对 系统 安全 造成 威胁 。 

人 员 威 胁 分 析 如 图 3-5 所 示 。 

2) 系统 问题 

(1) 软件 故障 。 由 于 系统 内 部 软件 发 生 异 和 常 ,致使 内 部 公文 丢失 损坏 泄密 等 情况 发 
生 , 从 而 对 系统 安全 构成 威胁 。 

(2) 便 件 故障 。 由 于 系统 便 件 发生 故障 ,致使 内 部 公文 丢失 损坏 .泄密 等 情况 发 生 , 从 
而 对 系统 安全 构成 威胁 。 

(3) 恶意 代码 。 由 于 用 户 操 作 过 程 中 被 提交 了 恶意 代码 ,致使 系统 内 部 公文 丢失 、 损 
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坏 ,泄密 等 情况 发 生 , 从 而 对 系统 安全 构成 威胁 。 

(4) 系统 朋 尝 。 由 于 系统 不 稳定 引起 的 朋 江 ,致使 系统 内 部 公文 丢失、 损坏 、 漆 密 等 情 
况 发 生 , 从 而 对 系统 安全 构成 威胁 。 

系统 威胁 分 析 如 图 3-6 所 示 。 

资产 E 角 结果 
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3. 确定 安全 需求 

针对 威胁 分 析 与 威胁 分 析 可 能 造成 的 后 果 ,确定 了 以 下 安全 需求 。 

(1) 认证 需求 。 提 供 某 个 实体 的 身份 认证 ,保证 只 有 合法 用 户 才能 访问 到 系统 内 资源 。 

(2) 访问 控制 需求 。 涉 密 公 文 必须 得 到 严格 的 访问 控制 ,确保 非法 访问 者 无 法 访问 。 

(3) 保密 需求 。 涉 密 公 文 必须 加 密 存 放 、 加 密 传 输 。 

(4) 数据 完整 性 需求 。 公 文 必须 得 到 严格 的 完整 性 保护 ,以 防止 未 经 授权 的 增加 、 删 
除 、 修 改 和 代替 。 

(5) 不 可 否认 需求 。 公 文 必须 得 到 严格 的 防 抵赖 保护 ,确保 公文 的 收发 都 无 法 抵赖 。 

(6) 可 用 性 需求 。 为 防止 设备 故障 ,软件 故障 发 生 引 发 的 一 系列 问题 ,对 数据 进行 备 
份 , 确 保有 据 可 查 。 


3.3.3 定义 信息 保护 系统 
1. 确定 信息 保护 目标 


针对 以 上 分 析 得 到 的 公文 流转 系统 安全 需求 ,本 章 提 出 了 如 下 的 信息 保护 目标 。 

(1) 保密 性 。 信 息 不 能 被 未 授权 的 个 人 ,实体 或 者 过 程 利用 所 获知 。 

(2) 完整 性 。 保 护 公 文 、 信 息 准 确 和 完整 。 

(3) 可 用 性 。 根 据 授权 实体 的 要 求 可 访问 和 利用 指定 的 资源 。 

(4) 真实 性 。 保 证 主体 或 资源 的 确 是 其 所 声称 的 身份 .角色 。 

(5) 可 核查 性 。 确 保 实体 行为 能 被 有 效 跟 踊 和 记录。 

(6) 不 可 否认 性 。 一 个 已 发 生 的 事件 可 被 确认 证 明 , 在 事后 不 能 否认 这 个 事件 或 者 行 
为 的 发 生 。 

2. 信息 保护 系统 功能 分 析 

该 信息 保护 系统 应 实现 对 用 户 的 身份 认证 和 访问 控制 功能 ,同时 应 该 实现 对 用 户 的 主 
要 操作 进行 日 志 记 录 ,并 提供 日 志 审 计 功 能 。 系 统 应 该 通过 实现 以 上 安全 措施 达到 对 系统 
中 信息 的 保护 ,使 得 系统 中 的 信息 具有 和 较 强 的 保密 性 、 不 可 算 改 性 和 可 追溯 性 。 这 样 ,系统 
中 的 机 密 信 息 才 会 得 以 保护 ,并 且 即 使 系统 中 的 信息 被 非法 算 改 ,也 可 以 通过 查阅 日 志 记 录 
追溯 到 嫌疑 人 并 且 对 其 追究 相应 的 责任 ,其 信息 保护 功能 分 析 如 下 。 

1) 用 户 认 证 功能 

由 于 公文 处 理工 作 具 有 保密 性 、 严 肃 性 的 特点 ,因而 公文 流转 系统 必须 使 用 与 之 相 适 应 
的 身份 认证 技术 ,并 基于 此 形成 完备 的 用 户 访问 控制 体系 。 

该 部 分 功能 的 实现 能 满足 真实 性 的 信息 保护 目标 。 

2) 访问 控制 功能 

访问 控制 是 通过 某 种 途径 显 式 地 准许 或 限制 访问 能 力 及 范围 的 一 种 方法 ,是 针对 越权 
使 用 系统 资源 的 防御 措施 ; 通过 限制 对 关键 资源 的 访问 ,防止 非法 用 户 的 侵入 或 因为 合法 
用 户 的 不 慎 操 作 而 造成 的 破坏 。 

该 部 分 功能 的 实现 能 满足 可 用 性 的 信息 保护 目标 。 

3) 数字 签名 与 传输 加 密 功 能 

公文 流转 过 程 中 严格 的 保密 性 是 公文 流转 系统 基本 的 要 求 之 一 ,所 以 一 个 成 熟 的 公文 
流转 系统 必须 使 用 数字 签名 技术 ,并 在 其 基础 上 对 数据 传输 进行 加 密 。 数 字 签 名 技术 也 是 
识别 用 户 身 份 ,确定 公文 责任 的 主要 技术 。 
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该 部 分 功能 的 实现 能 满足 保密 性 、 完 整 性 及 不 可 否认 性 的 信息 保护 目标 。 

4) 审计 功能 

通过 日 志 审 计 系 统 , 企 业 管 理 员 可 以 随时 了 解 整个 IT 系统 的 运行 情况 ,及 时 发 现 系统 
异常 事件 ;另外 ,通过 事后 分 析 和 丰富 的 日 志 系 统 , 管 理 员 可 以 方便 、 高 效 地 对 系统 进行 有 和 针 
对 性 的 安全 审计 。 遇 到 特殊 安全 事件 和 系统 故障 ,日 志 审 计 系 统 可 以 帮助 管理 员 进 行 故 障 
快速 定位 ,并 提供 客观 依据 进行 追查 和 恢复 。 

在 公文 流转 系统 中 ,日志 记 录 主 要 包括 记录 用 户 操作 ,如 登入 查看、 审核 和 修改 文件 ， 
文件 当前 的 状态 ,如 在 审核 中 .审核 完毕 .归档 等 。 

该 部 分 功能 的 实现 能 满足 可 核查 性 的 信息 保护 目标 。 


3.3.4 设计 信息 保护 系统 


根据 以 上 分 析 ,公文 流转 信息 保护 系统 由 四 个 安全 功能 模块 组 成 ,分 别 是 用 户 认 证 模 
块 .访问 控制 模块 安全 审计 模块 和 内 容 保 护 模 块 。 每 个 模块 均 有 各 日 的 功能 ,负责 实现 不 
同 的 安全 服务 。 并 且 ,各 个 模块 之 间 相 互 协调 运作 ,对 系统 安全 的 保护 起 到 重要 的 作用 。 安 
全 保护 系统 功能 模块 如 图 3-7 所 示 。 


公文 流 特 安全 保护 系统 
访问 控制 内 容 保护 


3-7 ”安全 保护 系统 功能 模块 图 


1. 用 户 认 证 设计 

本 系统 采用 PKI/CA(Public Key Infrastructure/Certificate Authority) 的 方式 进行 用 
户 认证 。 用 户 注册 后 ,将 从 CA 处 获取 数字 证 书 。 当 用 户 登 录 时 , 需 提 交 数 字 证 书 进行 号 份 
验证 。 用 户 身 份 认证 流程 如 图 3-8 所 示 。 


传送 连 
接 放 可 | 接收 连接 请 
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对 R 进 行 倍 名 验证 Cert 处 理 CRL 
和 PrK 有 效 


3-8 ”用 户 身 份 认证 流程 


第 3 章 信息 系统 安全 工程 49 


2. 访问 控制 设计 

由 于 公文 流转 系统 本 质 上 是 一 种 工作 流 系 统 ,并 且 一 次 流转 流程 中 ,存在 诸多 权限 不 同 
的 用 户 ,使 用 基于 角色 的 访问 控制 可 以 很 好 地 实现 。 但 是 基于 角色 的 访问 控制 (Role-Based 
Access Control,RBAC) 模 型 对 于 授权 访问 是 静态 的 ,对 动态 的 公文 流转 没有 恨 好 的 解决 方 
法 ,这 里 对 RBAC 模型 进行 扩展 。 将 公文 分 为 静态 公文 和 动态 公文 ,动态 公文 的 访问 控制 由 
关系 定义 进行 补充 。 使 用 RBAC 模型 和 关系 约定 ,可 以 很 好 地 实现 公文 流转 中 的 访问 控制 。 

访问 控制 的 主要 任务 就 是 保证 公文 资源 不 被 非法 使 用 和 访问 ,所 以 所 指定 的 访问 控制 
安全 策略 应 该 根据 客体 的 属性 而 设 定 。 由 于 客体 分 为 动态 客体 ( 即 流转 中 的 公文 ) 与 静态 客 
体 ( 即 归档 后 公文 ), 所 以 安全 策略 也 应 该 分 为 动态 策略 和 静态 策略 。 由 于 在 发 文 管理 和 收 
文 管理 中 ,其 对 象 主 要 是 动态 客体 ,所 以 这 里 设计 部 分 只 考虑 动态 策略 的 构建 。 

1) 收文 流程 

收文 是 指 由 办 公 室 进行 接收 ,并 指定 特定 权限 的 角色 传阅 。 在 这 个 流程 中 ,为 了 防止 公 
文 被 算 改 ,设置 所 有 角色 只 对 公文 基本 内 容 有 “ 读 ” 权 限 。 基 于 角色 的 权限 控制 具体 策略 
如 下 。 

(1) 在 收文 流程 中 ,按照 三 元 组 的 定义 ,只 有 角色 (收文 员 、 相 关 管 辖 \ 办 公 ) 才 享有 创建 动 
态 公文 客体 的 权限 , 即 首次 收文 并 将 公文 转 人 流程 系统 的 权限 ,并 对 公文 进行 初始 化 如 下 。 

@ 当前 阶段 为 “签收 ”。 

@ 当前 激活 区 域 为 公文 基本 信息 (公文 编号 .公文 标题 .公文 内 容 等 ) 。 

G) 初始 化 当前 控制 者 。 

由 前 处 理 者 为 无 。 

(2) 公文 流转 阶段 的 规则 。 除 非 处 理 过 程 完 成 , 即 阶段 为 “处 理 ”, 否 则 只 能 按照 规定 的 
流程 进行 流转 。 如 果 需 要 多 次 交互 , 则 有 控制 流程 权限 的 用 户 可 以 做 适当 的 调整 ,指定 公文 
流转 的 下 一 个 用 户 。 这 些 交 互 过 程 由 逻辑 值 决定 是 否 转 和 人 新 的 流转 阶段 。 

(3) 如 果 当 前 阶段 为 a1, 当 前 控制 者 为 userl, 则 当 userl 完成 现 阶 段 操作 后 ,将 客体 问 
下 一 个 阶段 流转 时 ,需要 完成 以 下 任务 。 

OQ 修改 当前 阶段 的 值 ,并 且 下 一 个 阶段 的 值 要 满足 公文 流转 阶段 的 规则 。 

@ 设 定 下 一 个 控制 者 的 角色 ,并 且 下 一 个 控制 者 的 角色 的 值 必须 满足 授权 接手 公文 的 
角色 。 

(4) 当 用 户 userl 成 为 协办 方 时 ,需要 完成 修改 “公文 一 一 协办 者 ”关系 ,将 ID 加 入 关系 中 。 

(5) 用 户 userl 对 流转 中 的 公文 的 访问 权限 , 即 具体 可 执行 的 基本 操作 ,按照 下 列 策略 
规定 。 

QD 如 果 用 户 为 动态 客体 的 “当前 控制 者 ”, 并 已 有 登记 信息 ,就 可 以 对 公文 执行 当前 阶 
段 角 色 人 允许 的 操作 ; 如 果 用 户 是 “前 处 理 者 ”, 则 只 对 公文 的 基本 信息 拥有 读 的 权限 ; 如 果 
用 户 既 不 是 控制 者 .协办 者 ,也 不 是 前 处 理 者 , 则 对 公文 没有 任何 访问 权限 。 

@ 如 果 角 色 中 有 公文 反馈 权限 , 则 可 以 将 不 满意 的 公文 设置 相应 的 逻辑 值 为 False, 并 
将 流程 返回 给 最 后 一 位 “前 处 理 者 ”进行 重新 批阅 ,这 称 作 一 次 交互 。 交 互 流转 时 ,其 他 与 交 
互 过 程 无 关 的 用 户 只 有 读 权 限 。 

@ 如 果 当 前 控制 者 所 处 的 角色 中 ,有 调整 流转 流程 的 权限 , 则 可 以 对 公文 流转 的 过 程 
进行 自 定义 规定 ,同时 记录 控制 信息 到 公文 临时 信息 中 。 
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@ 当 公 文 处 理 阶 段 完 成 之 后 ,一 次 收文 流程 完成 ,这 时 ,公文 转变 为 静态 客体 ,所 有 角 
色 对 其 都 只 有 读 权 限 。 

2) 发 文 流程 

发 文 是 公文 流转 系统 中 又 一 个 重要 的 部 分 ,通过 发 文 流程 ,可 以 完成 将 动态 客体 转变 为 
静态 客体 的 过 程 。 具 体 的 访问 控制 策略 与 收文 流程 相同 。 

(1) 在 发 文 流程 中 ,按照 角色 定义 ,有 角色 (起 草 人 、 相 关 管 辖 , 办 公 ) 负 责 发 文 流 转 过 程 
中 动态 公文 的 创建 ,并 填写 公文 基本 信息 .访问 信息 、 临 时 信息 等 初始 化 工作 。 起 草 阶 段 完 
成 后 ,可 以 获得 一 份 粗略 的 动态 客体 。 

(2) 由 发 文 流 程 可 知 , 在 发 文 流 转 中 ,不 存在 收文 流程 中 的 交互 过 程 , 即 不 存在 动态 公 
文 被 打 回 去 的 情况 。 

(3) 如 果 当 前 阶段 为 al ,当前 控制 者 为 userl, 则 当 userl 完成 现 阶段 操作 后 ,将 客体 向 
下 一 个 阶段 流转 时 ,需要 完成 以 下 的 任务 。 

Q 修改 当前 阶段 的 值 ,并 且 下 一 个 阶段 的 值 要 满足 公文 流转 阶段 的 规则 。 

设 定 下 一 个 控制 者 的 角色 ,并 且 下 一 个 控制 者 的 角色 的 值 必须 满足 授权 接收 公文 的 
角色 。 

(4) 当 用 户 userl 成 为 协办 方 时 ,需要 完成 修改 “公文 一 一 协办 者 ”关系 ,将 ID 加 入 关 
系 中 。 这 时 ,用 户 对 公文 基本 内 容 有 读 权 限 , 对 公文 临时 信息 部 分 有 读 写 权限 。 

(5) 用 户 userl 对 流转 中 的 公文 的 访问 权限 , 即 具体 可 执行 的 基本 操作 ,按照 下 列 策略 
规定 。 

QD 如 果 用 户 为 动态 客体 的 “当前 控制 者 ”, 并 已 有 登记 信息 ,就 可 以 对 公文 执行 当前 阶 
段 角 色 人 允许 的 操作 ; 如 果 用 户 是 “前 处 理 者 ”, 则 只 对 公文 的 基本 信息 拥有 读 的 权限 ; 如 果 
用 户 既 不 是 控制 者 、 协 办 者 ,也 不 是 前 处 理 者 , 则 对 公文 没有 任何 访问 权限 。 

@ 如 果 当 前 控制 者 所 处 的 角色 中 ,有 调整 流转 流程 的 权限 , 则 可 以 对 公文 流转 的 过 程 
进行 目 定 义 规定 ,同时 记录 控制 信息 到 公文 临时 信息 中 。 

G) 当 公 文 处 理 阶 段 完成 之 后 ,一 次 收文 流程 完成 ,这 时 ,公文 转变 为 静态 客体 ,所 有 角 
色 对 其 都 只 有 读 权 限 。 

(6) 由 发 文 流程 可 知 , 最 终 文档 的 整合 由 办 公 人 员 完 成 , 即 公 文 的 编号 、 盖 章 、 发 文 、 归 
档 的 授权 角色 。 

(7) 当 公 文 归档 后 ,一 次 发 文 流 转 完 成 ,动态 公文 转换 为 静态 公文 ,这 时 ,所 有 角色 对 静 
态 公 文部 只 有 读 权 限 。 

3. 安全 审计 设计 

日 志 是 记录 系统 中 便 件 、 软 件 和 系统 问题 的 信息 ,同时 还 可 以 监视 系统 中 发 生 的 事件 。 
用 户 可 以 通过 它 来 检查 错误 发 生 的 原因 ,或 者 寻找 受到 攻击 时 攻击 者 和 留 下 的 痕迹 。 经 过 规 
范 化 .过 滤 .归并 和 警告 分 析 等 处 理 后 ,以 统一 格式 的 日 志 形 式 进行 集中 存储 和 管理 ,结合 丰 
富 的 日 志 统计 汇总 及 关联 分 析 功 能 ,实现 对 信息 系统 的 全 面 审计 。 

在 公文 流转 系统 中 ,日 志 记 录 主 要 包括 记录 用 户 操作 ,如 登录 \ 查 看、 审核 和 修改 文件 ， 
文件 当前 的 状态 ,如 在 审核 中 审核 完毕 、 归 档 等 。 

1) 用 户 登 录 

用 户 登 录 的 日 志 记 录 应 该 包含 事件 编号 、 用 户 名 、 用 户 登 录 IP 地 址 .登录 是 否 成 功 、 登 
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录 时 间 、 退 出 时 间 .日 志 类 别 。 

(1) 事件 编号 。 用 户 登 录 事 件 的 编号 。 

(2) 用 户 名 。 用 户 登 录 名 。 

(3) 用 户 登 录 IP 地 址 。 用 户 登 录 地 点 的 IP 地 址 。 

(4) 登录 是 否 成 功 。 用 户 是 否 登 录 成 功 。 

(5) 登录 时 间 。 用 户 登 录 的 时 间 。 

(6) 退出 时 间 。 用 户 退 出 的 时 间 。 

(7) 日 志 类 别 。 日 志 记 录 属 于 哪 一 个 类 别 。 知 属于 用 户 类 别 , 则 日 志 记 录 的 是 用 户 登 
录 的 事件 ; 若 属于 文件 处 理 , 则 记录 的 是 用 户 处 理 文件 的 记录 。 

用 户 登 录 日 志 如 表 3-2 所 示 。 


表 3-2 用 户 登录 日 志 


用 户 登 录 登录 
局 中 1 昌 Ju 
事件 编号 户 名 IP 地 避 是 否 成 也 登录 时 间 退出 时 间 日 志 类 别 


0001 1.1.1.1 是 | 2018-12-19 | 2018-12-19 用 户 
0002 127.0.0.1 “是 | 2018-12-19 | 2018-12-19 用 户 


2) 处 理 文件 

处 理 文 件 的 日 志 记 录 , 包 含 文 件 编号 、 文 件 名 、 处 理 人 员 处理 方式 、 处 理 部 门 、 处 理 时 
间 \ 日 志 类 别 、 安 全 级 别 。 

(1) 文件 编号 。 文 件 自动 进行 编号 。 

(2) 文件 名 。 文 件 名 字 。 

(3) 处 理 人 员 。 对 文件 进行 处 理 的 人 员 。 

(4) 处 理 方式 。 用 户 对 文件 进行 的 操作 ,例如 收文 登记 收文 拟 办 、 核 签 、. 审核、 批示 、 批 
复 意 见 填报 收文 办 理 、 归 档 。 

(5) 处 理 部 门 。 对 文件 进行 处 理 的 人 员 的 部 门 。 

(6) 处 理 时 间 。 文 件 处 理 的 时 间 。 

(7) 日 志 类 别 。 日 志 记 录 属 于 哪 一 个 类 别 。 寿 属于 用 户 类 别 , 则 日 志 记 录 的 是 用 户 登 
录 的 事件 ; 各 属于 文件 处 理 , 则 记录 的 是 用 户 处 理 文件 的 记录 。 

(8) 安全 级 别 。 分 为 安全 .警告 ` 危 险 。 安 全 级 别 表示 用 户 登 录 操 作 或 文件 处 理 在 用 户 
权限 之 内 ,没有 越权 情况 发 生 ; 警告 级 别 表示 用 户 频 繁 登 录 , 登 录 IP 地 址 变化 频繁 ,对 文件 
提出 异常 处 理 请 求 或 文件 处 理 异 和 常 ; 危险 级 别 表示 用 户 对 文件 进行 越权 访问 。 

用 户 收 文 过 程 日 志 如 表 3-3 所 示 。 

表 3-3 用户 收文 过 程 日 志 


办 公 室 1 | 处 理 


1001 | 公文 1 | 办 公 室 1 | 外 安全 
in 安全 
00: 安全 
004 安全 
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用 户 发 文 过 程 日 志 如 表 3-4 所 示 。 
表 3-4 用户 发 文 过 程 日 志 


3) 日 志文 件 的 保护 

日 志文 件 的 查看 权限 : 需要 管理 员 权 限 才 可 查看 日 志 记 录 文 件 ; 日 志文 件 的 修改 和 删 
除 应 设置 为 本 地 管理 员 登 入 才 可 处 理 。 

4. 内 容 保护 设计 

公文 流转 过 程 中 ,主要 有 三 种 情况 的 文件 传送 。 

(1) 一 对 多 的 公开 明文 发 送 。 只 需要 以 明文 的 方式 发 送 公 文 ,如 校长 办 公 室 发 送 给 全 
校 的 放假 通知 。 

(2) 多 对 一 的 公文 发 送 。 如 下 级 部 门 的 公文 ,需要 发 给 上 级 签字 。 公 文 需要 以 密 文 的 
方式 发 送 , 并 且 需 要 保证 公文 被 正确 的 人 签字 。 

(3) 一 对 一 的 公文 发 送 。 如 领导 发 送 给 各 部 门 主管 的 重要 通知 ,必须 以 密 文 形式 发 送 ， 
以 免 被 他 人 截获 ,从 而 泄露 公司 秘密 。 

此 案例 采用 非 对 称 密码 体制 来 保证 公文 内 容 的 安全 。 


3.3.5 实施 信息 保护 系统 

基于 ISSE 的 设计 理念 ,可 以 将 公文 流转 系统 的 实施 部 分 划分 为 
3 个 模块 ,如 图 3-9 所 示 。 

1. 购买 


根据 系统 设计 部 分 的 要 求 ,购买 搭建 公文 流转 系统 所 必需 的 服 
务 佣 设备 (网 站 服务 做、 数据 库 服 务 硕 、VPN 设备 ) ,硬件 防火 才 ,路 


由 需 等 。 如 有 必要 ,相应 的 软件 服务 也 需 购买 。 图 3-9 实施 信息 保护 
2. 建设 、 集 成 系统 的 3 个 模块 


根据 系统 设计 部 分 的 各 个 模块 需求 ,集成 收文 管理 和 发 文 管理 
的 两 大 基本 功能 。 其 中 收文 管理 集成 了 收文 登记 收文 拟 办 、 核 签 、. 审核 批示、 批复 意见 填 
报 、 收 文 办 理 、 归 档 等 功能 ; 发 文 管理 集成 了 文件 拟稿 ,文件 复核 .主管 领导 复核 .领导 签发 、 
经 办 人 分 发 传阅 ,文件 归档 等 功能 。 最 终 建设 出 具备 用 户 认 证 和 访问 控制 功能 ,同时 对 用 户 
的 主要 操作 具备 日 志 记 录 和 日 志 审 计 功 能 的 公文 流转 系统 。 
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3. 测试 、 认 证 

按照 ISSE 的 标准 测试 所 构建 的 公文 流转 系统 能 否 满 足 用 户 需求 ,是 否 具 备用 户 认 证 
和 访问 控制 功能 ,是 否 具备 对 用 户 的 主要 操作 有 日 志 记 录 和 日 志 审 计 的 功能 , 且 能 满足 用 户 
和 认证 员 的 要 求 。 


3.3.6 评估 信息 保护 有 效 性 


该 项 目 主 要 是 实现 公文 流转 系统 上 的 用 户 验 证 、 访 问 控 制 \ 信 息 保密 性 、 数 据 完整 性 ,不 
可 否认 性 、 建 立 起 一 套 完善 的 公文 流转 系统 安全 保障 体系 。 评 估 信 息 保 护 的 有 效 性 主要 和 集 
中 于 该 信息 保障 系统 的 有 效 性 , 即 系统 在 保密 性 .完整 性 .可 用 性 ,不 可 否认 性 等 安全 特性 方 
面 的 有 效 性 。 

项 目 主要 从 5 个 方面 进行 了 有 效 性 评估 。 


1. 实体 鉴别 

登录 系统 的 用 户 需要 通过 身份 认证 ,只 有 合法 的 用 户 才 可 以 访问 系统 ,执行 操作 。 而 系 
统 也 要 提供 系统 证 书 , 防 止 有 第 三 者 假冒 系统 。 

2. 权限 控制 


用 户 新 建 公 文 或 者 审核 公文 的 时 候 ,都 需要 相应 的 权限 验证 ,确保 该 用 户 有 权力 访问 所 
要 求 的 公文 ,进行 所 要 求 的 操作 。 

3. 数据 保密 性 

保证 公文 在 前 一 环节 的 用 户 到 下 一 环节 之 间 的 传输 不 被 锚 听 ,只 有 指定 的 用 户 才 能 阅 
读 指 定 的 公文 。 只 有 的 得 到 文件 服务 器 的 权限 才 可 以 访问 文件 服务 器 。 

4. 不 可 否认 性 

公文 的 提交 方 不 能 否认 在 公文 上 载 明 的 时 间 提 交 过 这 份 公文 ,接受 方 不 能 否认 在 载 明 
的 时 间接 受过 该 公文 。 

5. 数据 完整 性 

公文 在 传输 过 程 不 被 插入 修改、 更 改 顺序 或 者 重 放 。 


3.4 小 i 


总 的 来 说 ,信息 系统 安全 工程 规定 了 在 各 个 阶段 应 该 达到 的 目的 ,但 没有 规定 具体 的 工 
具 和 方法 ,只 是 从 系统 论 的 角度 指明 了 一 个 框架 和 范围 ,实施 的 细节 依赖 于 已 有 的 经 验 和 积 
累 。 信 息 系 统 安 全 工程 沿 袭 了 系统 工程 以 时 间 维 划 定 工程 元 素 的 方法 学 ,暴露 出 一 些 不 足 。 
首先 ,很 多 安全 要 求 应 该 贯彻 在 整个 工程 过 程 之 中 ,尤其 是 信息 安全 的 保证 要 求 ,而 信息 系 
统 安全 工程 对 其 缺乏 有 针对 性 的 讨论 。 其 次 ,信息 安全 的 内 容 极其 庞杂 ,一 次 完整 的 信息 安 
全 工程 过 程 ,往往 会 涉及 多 个 复杂 的 安全 领域 ,而 有 些 领域 的 时 间 过 程 性 却 不 明显 ,以 时 间 
维 为 线索 的 描述 方式 不 适合 反映 这 些 内 容 。 因 此 ,后 来 在 信息 安全 工程 方法 的 发 展 上 ,出 现 
了 第 二 种 思路 : 过 程 能 力 成 熟 度 的 方法 。 
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. 如 何 发 掘 信 息 系 统 的 安全 需求 ? 

. 简 述 信息 系统 安全 工程 的 过 程 。 

. 试 比较 ISSE 与 SE。 

. 什么 是 威胁 ?一 个 普通 的 信息 管理 系统 经 常 面临 什么 样 的 威胁 ? 


第 4 苹 SSE-CMM 


本 章 学 习 目 标 : 

。 了解 SSE-CMM 的 基本 概念 。 
。 掌握 SSE-CMM 的 过 程 域 。 

。 掌握 SSE-CMM 能 力 级 别 。 


4.1 CMM 


4.1.1 CMM 简介 


软件 能 力 成 熟 度 模型 (Capability Maturity Model, CMM) 是 卡 内 基 梅 隆 大 学 软件 工程 
人 研究 院 (Software Engineering Institute,SEI) 为 了 满足 美国 联邦 政府 评估 软件 供应 商 的 要 
求 , 于 1986 年 开始 研究 的 模型 ,并 于 1991 年 推出 其 CMMI1.0 版 ,1993 年 推出 CMMI1. 1 版 。 

CMM 将 软件 组 织 的 过 程 能 力 分 为 5 个 成 熟 度 级 别 , 每 一 个 级 别 定 义 了 一 组 过 程 能 力 
目标 ,并 描述 了 要 达到 这 些 目 标 应 该 采取 的 实践 活动 。 软 件 组 织 通 过 努力 一 步 步 达 到 这 些 
预定 的 目标 ,从 而 得 到 持续 的 过 程 改进 ,实现 组 织 高 效率 、 低 成 本 地 交付 高 质量 软件 产品 的 
战略 目标 。 

CMM 自问 世 后 备 受 关注 ,在 一 些 发 达 国 家 和 地 区 得 到 了 广泛 的 应 用 ,成 为 衡量 软件 公 
司 组织 管 理 软件 产品 及 开发 能 力 的 事实 上 的 工业 标准 ,并 为 软件 公司 改善 其 生产 过 程 提 供 
了 重要 依据 。 


4.1.2 CMM 的 体系 结构 


持续 的 过 程 改进 是 许多 小 的 、 循 序 渐进 的 改进 步骤 ,而 不 是 革命 性 的 变革 。CMM 提供 
了 一 个 框架 ,将 这 些 渐 进 的 步骤 组 织 成 5 个 成 熟 度 的 级 别 , 为 持续 的 过 程 改 进 黄 定 了 基础 。 
5 个 成 熟 度 级 别 定 义 了 度量 组 织 软件 过 程 和 评估 软件 过 程 能 力 的 尺度 ,是 一 个 良好 定义 并 
呈 螺 旋 式 上 升 的 阶梯 形 层 次 结构 。CMM 模型 的 5 级 阶梯 式 结构 , 即 CMM 的 5 个 能 力 成 


熟 度 等 级 ,如 图 4-1 所 示 。 
持续 改进 的 过 程 习 优化 级 | 
可 预测 的 过 程 全 已 管理 级 | 
标准 一 致 的 过 程 人 已 定 X 级 
有 纪律 的 过 程 全 可 重复 级 | 


4-1 CMM 的 5 个 能 力 成 熟 度 等 级 
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CMM 的 各 个 级 别 都 建立 了 一 组 关键 过 程 域 (Key Process Area,KPA) ,这 些 KPA 定 
义 了 一 组 过 程 目标 ,对 软件 工程 的 过 程 能 力 提 出 了 明确 的 要 求 。 如 果 满 足 了 这 组 目标 , 则 说 
明 软 件 过 程 的 某 些 重 要 活动 已 经 稳定 。 随 着 成 熟 度 级 别 的 上 升 ,目标 要 求 也 逐步 提高 ,促使 

组 织 有 计划 、 有 系统 地 走向 更 加 成 熟 和 完善 。 

(1) 第 1 级 (初始 级 )。 这 时 的 软件 组 织 没有 任何 对 质量 和 过 程 的 管理 ,软件 的 开发 和 
生产 处 于 无 序 的 状态 ,产品 的 成 功 完 全 依赖 于 个 人 的 智慧 和 努力 。 

(2) 第 2 级 (可 重复 级 )。 对 基本 的 项 目 过 程 建立 了 成 本 .进度 和 功能 实现 情况 的 跟踪 
管理 ,建立 了 一 些 过 程 规律 和 训练 。 一 些 重 要 的 过 程 可 以 重用 以 前 类 似 项 目的 成 功 经 验 和 
结果 。 

(3) 第 3 级 (已 定义 级 ) 。 软 件 过 程 的 管理 和 工程 活动 都 已 形成 标准 ,并 以 文件 的 形式 
确定 下 来 ,成 为 组 织 的 标准 软件 过 程 。 所 有 项 目的 开发 和 维护 活动 都 必须 遵循 这 些 已 被 证 
明 的 、 制 度 化 的 软件 过 程 标准 ,但 可 以 视 项 目的 具体 特征 ,根据 制度 化 的 裁减 准则 进行 裁减 。 

(4) 第 4 级 (已 管理 级 )。 组 织 对 软件 产品 和 过 程 都 建立 了 量化 的 质量 目标 。 一 些 重 要 
的 软件 质量 活动 的 生产 能 力 和 质量 都 可 按照 组 织 定义 的 度量 程序 进行 度量 ,从 而 使 软件 项 
目的 计划 和 估计 更 加 准确 。 

(5) 第 5 级 (优化 级 )。 组 织 有 良好 的 方法 识别 过 程 的 缺陷 ,并 采取 有 效 的 措施 来 避免 
缺陷 的 非 预期 或 重复 发 生 。 第 5 级 的 组 织 可 以 收集 有 效 的 软件 过 程 数 据 , 通 过 对 数据 的 度 
量 ,分 析 新 技术 的 成 本 效益 ,并 对 软件 过 程 改 进 提 出 适当 的 建议 。 建 立 良 好 的 技术 变化 管理 
机 制 ， ee 
程 得 到 持续 的 改进 和 完 

可 见 ,CMM 的 成 熟 度 等 级 是 逐步 提高 的 ,每 一 个 级 别 都 有 明确 的 目标 集合 ,每 提高 一 
个 等 级 ,软件 过 程 就 更 加 成 熟 。 


4.2 SSE-CMM 概述 


4.2.1 SSE-CMM 的 概念 


SSE-CMM 是 系统 安全 工程 能 力 成 熟 度 模型 (System Security Engineering Capability 
Model) 的 英文 缩写 ,由 能 力 成 熟 度 模型 (CMM) 发 展 而 来 ,是 以 工程 域 维 和 能 力 维 来 诠释 信 
息 安 全 工程 过 程 的 方法 学 ,SSE-CMM 的 一 个 重要 用 途 是 对 信息 安全 工程 能 力 进行 评估 。 

SSE-CMM 起 源 于 1993 年 4 月 美国 国家 安全 局 (National Security Agency,; NSA) 对 当 
时 各 类 能 力 成 熟 度 模型 (CMM) 工 作 状 况 的 研究 ,以 判断 是 否 需 要 一 个 专门 应 用 于 安全 工程 
的 CMM。 在 这 个 构思 阶段 ,确定 了 一 个 初步 的 安全 工程 CMM 作为 这 个 判断 过 程 的 基础 。 
1995 年 1 月 ,各 界 信息 安全 人 士 被 邀请 参加 第 一 届 公 开 安 全 工程 CMM 工作 研讨 会 ,来 自 
60 多 个 组 织 的 代表 肯定 了 这 种 模型 的 需求 。 由 于 信息 安全 业界 的 兴趣 ,会 议 成 立 了 项 目 工 
作 组 ,这 标志 着 安全 工程 CMM 开发 阶段 的 开始 。 项 目 工作 组 的 首次 会 议 于 1995 年 3 月 举 
行 。 通 过 SSE-CMM 指导 组 织 、 创 作 组 织 和 应 用 工作 组 织 的 工作 ,完成 了 模型 和 认定 方法 
的 工作 。1996 年 10 月 发 布 了 SSE-CMM vl.0 版 本 ,1997 年 4 月 制定 了 SSE-CMM 评定 方 
法 的 1.0 版 本 ,1999 年 4 月 ,形成 了 SSE-CMM v2.0 和 SSE-CMM 评定 方法 v2. 0,2002 年 
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3 月 ,SSE-CMM 得 到 了 ISO 的 采纳 ,成 为 ISO 的 标准 一 一 ISO/IEC 21827, 冠 名 为 《信息 技 
术 - 系 统 安 全 工程 -能 力 成 熟 度 模型 》。 

SSE-CMM 描述 了 一 个 组 织 的 安全 工程 过 程 的 重要 特性 。 为 了 确保 安全 工程 的 良好 
性 ,这 些 特性 是 完善 安全 工程 的 保证 ,也 是 信息 安全 工程 实施 的 度量 标准 ,同时 还 是 一 个 易 
于 理解 的 评估 系统 安全 工程 的 框架 。 尽 管 SSE-CMM 没有 基于 时 间 维 规定 一 个 特定 的 过 
程 和 步骤 ,但 是 它 汇 集 了 信息 安全 界 普 遍 使 用 的 信息 安全 工程 实施 方法 。 

SSE-CMM 是 安全 工程 实施 的 标准 化 评估 准则 ,包含 了 如 下 内 容 。 

(1) 整个 生命 周期 。 包 括 工程 开发 运行 ,维护 及 淘汰 等 。 

(2) 整个 组 织 。 包 括 管 理 \、 组 织 和 工程 活动 。 

(3) 与 其 他 学 科 的 紧密 联系 。 包 括 系 统 、 软 件 、 便 件 、 人 类 活动 和 测试 工程 、 系 统管 理 
运行 和 维护 等 活动 。 

(4) 与 其 他 组 织 的 相互 联系 。 包 括 信 息 获 取 、 系 统管 理 、 产 品 认 证 、 可 信和 度 评估 等 。 

用 户 和 安全 产品 提供 商都 非常 关注 和 重视 安全 产品 、 安 全 系统 及 安全 服务 的 改进 。 尽 
管 安全 工程 领域 存在 着 一 些 普 过 公认 的 原则 ,但 是 缺乏 一 个 全 面 的 框架 去 评估 工程 实践 。 
系统 安全 工程 能 力 成 熟 度 模型 正 是 这 样 一 个 框架 , 它 为 安全 工程 原则 的 应 用 提供 了 一 个 衡 
量 和 改进 的 途径 。SSE-CMM 的 目的 就 是 推动 安全 工程 成 为 一 个 明确 的 ,成 熟 的 和 可 衡量 
的 工程 活动 。 具 体 而 言 ,制定 SSE-CMM 模型 和 评价 方法 的 目的 如 下 。 

(1) 工程 组 把 投入 集中 在 安全 工程 工具 、 培 训 、 过 程 定 义 ,管理 措施 及 其 改进 活动 上 。 

(2) 实现 基于 能 力 的 保证 , 即 信任 度 是 基于 一 个 成 熟 工 作 组 织 的 安全 实施 和 过 程 的 可 


(3) 可 以 通过 评 佑 投标 人 的 能 力 水 平和 相关 方案 的 风险 来 选择 合格 的 安全 工程 供 


SSE-CMM 模型 中 最 重要 的 术语 以 及 它们 在 该 模型 中 的 含义 如 下 。 
1. 过 程 
过 程 是 指 为 达到 某 一 个 特定 目的 而 执行 的 一 系列 活动 ,这 些 活 动 可 以 重复 .递归 和 并 发 
地 执行 。 从 “过 程 ” 派 生出 来 的 有 关 术 请 有 “充分 定义 的 过 程 ”“ 已 定义 的 过 程 ”? 和 “执行 过 
程 ”。 充 分 定义 的 过 程 包括 对 每 个 活动 的 定义 、 每 个 活动 输入 的 定义 和 控制 活动 执行 机 制 
的 定义 。 we 
的 过 程 。 执 行 过 程 是 安全 工程 师 们 实际 在 执行 中 的 过 程 , 它 指明 安全 工程 师 实际 在 做 
什么 。 
过 程 域 

过 程 域 是 由 一 些 基 本 实施 组 成 的 活动 范围 ,它们 共同 实施 来 达到 一 个 规定 的 目标 。 这 
些 基本 实施 是 强制 性 的 ,因为 只 有 它们 全 部 成 功 地 得 到 执行 ,才能 满足 过 程 域 规定 的 目标 。 
SSE-CMM 包含 工程 项目 和 组 织 3 类 过 程 域 。 组 织 类 与 项 目 类 过 程 域 的 差别 仅仅 是 所 有 
权 不 同 ,项 目 过 程 只 针对 一 个 特定 的 产品 ,而 组 织 过 程 域 则 含有 一 个 或 多 个 项 目 。 
3. 工作 产品 


SSE-CMM 中 的 工作 产品 是 指 在 执行 任何 过 程 中 产生 出 的 所 有 文档 、 报 告 、 文 件 和 
数据 。 
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4. 过 程 能 力 

过 程 能 力 是 通过 跟踪 一 个 过 程 能 达到 期 望 结果 的 可 量化 范围 。 一 个 组 织 的 过 程 能 力 可 
带 助 组 织 预见 项 目 达到 目标 的 能 力 。 位 于 低能 力 级 组 织 的 项 目 在 达到 预定 的 成 本 、 进 度 、 功 
能 和 质量 目标 上 会 有 很 大 的 变化 ,而 位 于 高 能 力 级 组 织 的 项 目 则 完全 相反 。 


4.2.2 SSE-CMM 体系 结构 


SSE-CMM 体系 结构 设计 的 目标 是 清晰 地 从 管理 和 制度 化 特征 中 分 离 出 安全 工程 的 基 
本 特征 。SSE-CMM 模型 采用 了 两 维 的 结构 , 即 域 维 (domain) 和 能 力 维 (capability)。 

横 轴 的 域 维 定义 了 安全 工程 的 所 有 实施 活动 。SSE-CMM 模型 将 各 种 各 样 的 系统 安全 
工程 任务 抽象 为 11 个 有 明显 特征 的 子 任务 ,而 完成 其 中 一 个 子 任务 所 需要 实施 的 一 组 工程 
实践 称 为 一 个 过 程 域 ( Process Area,PA), 这 些 PA 可 能 出 现在 安全 系统 生命 周期 的 各 个 
阶段 。SSE-CMM 模型 为 每 个 过 程 域 定义 了 一 组 确定 的 基本 实施 (Basic Practice,BP) ,并 规 
定 每 一 个 基本 实践 对 完成 该 子 任务 都 是 不 可 缺少 的 ,其 组 成 结构 如 图 4-2 所 示 。 


PA 被 分 为 安全 工程 类 、 组 织 害 
理 类 和 项 目 管 理 类 


4-2 ”SSE-CMM 域 维 


纵 轴 的 能 力 维 代表 组 织 能 力 , 它 由 过 程 管理 与 制度 化 能 力 构成 。 在 能 力 维 上 ,模型 设置 
了 6 个 能 力 成 熟 级 别 ,每 个 能 力 成 熟 级 别 由 一 组 能 反映 过 程 能 力 变 化 的 公共 特征 (Common 
Feature,CF) 来 定义 ,这 些 CF 适用 于 所 有 的 PA, 而 每 一 个 CF 又 可 以 由 硅 干 项 通用 实施 
(Generic Practice,GP) 来 描述 。 只 有 某 种 级 别 的 所 有 公共 特征 痢 得 以 实现 , 才 说 明 该 过 程 
区 达到 了 相应 的 能 力 级 别 , 其 组 成 结构 如 图 4-3 所 示 。 


各 E 力 纪 7 多 | 
通用 实施 IF 公共 特征 上 能 力 级 别 


由 公共 特征 组 成 的 
过 程 能 力 水 平 的 级 


台 E - 目 尹 
能 力 维 | | Gp , 管理 、 度 量 和 || cF 是 由 GP 组 成 的 多 
错 域 


制度 方面 的 活动 ， 
可 用 于 决定 所 有 活 


别 划 分 ，0 一 5 共 6 
个 级 别 


动 的 能 力 水 平 


4-3 SSE-CMM 能 力 维 


第 4 章 SSE-CMM 09 


通过 设置 这 两 个 相互 依赖 的 维 ,SSE-CMM 在 各 个 能 力 级 别 上 覆盖 了 整个 安全 活动 范 
围 。 例 如 安全 工程 的 基础 部 分 是 识别 安全 脆弱 性 ,如 图 4-4 所 示 ,该 活动 在 SSE-CMM 中 归 
于 基本 实施 识别 系统 安全 脆弱 性 。 而 确定 一 个 组 织 是 否 有 能 力 完 成 菜 项 活动 的 方法 之 一 ， 
就 是 检查 它 是 否 有 为 申明 要 做 的 活动 配置 资源 的 过 程 。 成 熟 组 织 具备 的 该 “特征 ”, 在 SSE- 
CMM 通用 实施 中 称 为 “配置 资源 ”。 将 基本 实施 和 通用 实施 综合 起 来 ,为 检查 组 织 完 成 特 
定 活动 的 能 力 提 供 了 一 种 方法 。 如 有 意 的 一 方 可 能 问 :“ 你 们 组 织 为 识别 系统 安全 脆弱 性 
配置 了 资源 吗 ?得 到 的 答案 便 对 组 织 的 能 力 的 初步 了 解 。 回 答 全 部 基本 实施 和 通用 实施 相 
结合 而 提出 的 所 有 问题 (交叉 点 ) ,就 能 得 到 该 组 织 安全 工程 能 力 的 概貌 。 


通用 实施 
分 配 资 源 


组 织 为 识别 系统 
安全 脆 轮 性 配置 
了 资源 吗 ? 


基本 实施 
标志 系统 
安全 脆弱 性 


加 八国 加 国 因 辐 硬 故国 国 
TD 国 TD 
EL 


= 
= 


(基本 实施 ) 
4-4 SSE-CMM 两 维 模 型 
通过 设置 这 两 个 相互 依赖 的 维 ,SSE-CMM 在 各 个 能 力 级 别 上 禾 盖 了 整个 安全 活动 范 
用 。 给 每 个 PA 赋予 一 个 能 力 级 别 评分 ,所 得 到 的 两 维 图 形 便 形象 地 反映 了 一 个 工程 组 织 


整体 上 的 系统 安全 工程 能 力 成 熟 度 ,也 间接 地 反映 了 其 工作 结果 的 质量 及 其 在 安全 上 的 可 
信和 度 ,安全 过 程 区 域 的 能 力 级 别 评分 如 图 4-5 所 示 。 


能 力 级 别 
一 iD 人 


Le 


PA01 PA02 PA03 PA04 PAO5 
安全 过 程 域 


4-5 安全 过 程 域 的 能 力 级 别 评分 


4.2.3 SSE-CMM 的 应 用 


SSE-CMM 可 以 用 作 改 进 组 织 安全 工程 过 程 的 工具 ,这 方面 ,SSE-CMM 建议 采用 SEI 
的 IDEAL 模型 (Initiating,Diagnosing,Establishing,Acting,Learning) 。 

(1) Initiating( 司 动 ) 。 目 的 是 进入 一 个 评 佑 当前 状况 改进 .重复 的 持续 循环 之 中 。 熟 
悉 项 目 目标 和 完成 方式 ,开发 业务 案例 和 项 目 执行 方法 ,获得 管理 层 批准 和 文 持 , 为 成 功 地 
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改进 努力 做 好 铺垫 。 

(2) Diagnosing( 诊 断 ) 。 是 理解 组 织 当 前 和 期 望 的 过 程 成 熟 度 状态 ,这些 是 形成 组 织 过 
程 改进 行动 计划 的 基础 。 

(3) Establishing( 建 立 ) 。 是 基于 努力 目标 和 诊断 阶段 开发 的 建议 来 制订 详细 的 行动 
计划 ,计划 必须 考虑 到 各 种 约束 。 

(4) Acting( 操 作 ) 。 即 实施 阶段 ,无 论 是 资源 还 是 时 间 ,都 需要 各 方面 付出 最 大 程度 的 
努力 。 

(5) Learning( 学 习 )。 既 是 本 次 循环 的 终止 ,又 是 下 一 次 改进 过 程 的 开端 ,对 整个 过 程 
改进 活动 进行 评估 。 

对 于 整个 系统 工程 来 说 ,SSE-CMM 的 任务 是 在 评估 了 系统 工程 能 力 之 后 ,将 焦点 集中 
在 组 织 的 安全 工程 过 程 上 。 结 合 系统 工程 能 力 评估 ,SSE-CMM 评估 可 以 适当 裁减 ,与 SE- 
CMM 集成 在 一 起 。 当 不 依赖 于 系统 工程 能 力 评估 时 ,SSE-CMM 评估 必须 考虑 到 是 否 有 
合适 的 项 目 和 组 织 基础 为 安全 工程 过 程 提供 支持 。 


4.3 SSE-CMM 的 过 程 域 


4.3.1 SSE-CMM 过 程 域 的 分 类 


SSE-CMM 模型 中 定义 了 22 个 安全 方面 的 过 程 域 ,按照 解决 问题 的 不 同 , 过 程 域 分 为 3 
类 : 工程 过 程 域 (11 个 过 程 )、 项 目 工程 域 (5 个 过 程 )、 组织 过 程 域 (6 个 过 程 )。 

工程 过 程 域 的 11 个 过 程 描 述 了 系统 安全 工程 中 实施 的 与 安全 直接 相关 的 活动 。 

(1) PA01 管理 安全 控制 。 

(2) PA02 评估 影响 。 

(3) PA03 评估 安全 风险 。 

(4) PA04 评估 威胁 。 

(5) PA05 评估 脆弱 性 。 

(6) PA06 建立 保证 论据 。 

(7) PA07 协调 安全 性 。 

(8) PA08 监视 安全 态势 。 

(9) PA09 提供 安全 输入 。 

(10) PA10 确定 安全 需求 。 

(11) PA11 验证 与 确认 安全 。 

组 织 和 项 目 过 程 类 中 包含 11 个 过 程 ,并 不 直接 同系 统 安全 相关 ,但 常 与 11 个 工程 过 程 

一 起 用 来 度量 系统 安全 队伍 的 过 程 能 力 成 熟 度 。 其 中 ,PA12 一 PA16 是 项 目 过 程 ,PA17 一 
PA22 是 组 织 过 程 。 

(1) PA12 保证 质量 。 

(2) PA13 管理 配置 。 

(3) PA14 管理 项 目 风险 。 

(4) PA15 监视 和 控制 技术 活动 。 
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(5) PA16 计划 技术 活动 。 

(6) PA17 定义 组 织 的 系统 工程 过 程 

(7) PA18 改进 组 织 的 系统 工程 过 程 。 
(8) PA19 管理 产品 系列 进化 。 

(9) PA20 管理 系统 工程 支持 环境 。 

(10) PA21 提供 持续 发 展 的 技能 和 知识 。 
(11) PA22 与 供应 商 协调 。 


4.3.2 工程 过 程 域 


工程 过 程 域 分 为 3 个 基本 类 别 的 领域 : 风险 过 程 、 工 程 过 程 和 保证 过 程 ,如 图 4-6 所 
示 。 尽 管 这 3 个 域 并 不 是 相互 独立 的 ,但 还 是 需要 将 它们 区 分 开 来 。 就 最 简单 的 层次 而 
言 ;风险 过 程 要 识别 内 含 与 产品 以 及 系统 开发 过 程 中 的 危险 因素 ,并 将 其 按 危险 性 的 等 
级 进行 排列 ; 工程 过 程 则 要 对 上 述 危 险 带 来 的 问题 采取 解决 措施 ; 保证 过 程 则 要 确保 有 效 
的 安全 解决 措施 ,并 将 这 种 措施 传递 给 客户 。 这 3 个 域 同时 协作 ,才能 实现 安全 工程 所 要 达 
到 的 目标 。 


工程 过 程 
Engineering 


县 二 本 
县 二 本 


保证 论据 风险 信息 


4-6 安全 工程 过 程 域 的 3 个 基本 域 


1. 风险 过 程 


安全 工程 中 的 一 个 核心 目标 就 是 降低 风险 。 降 低 风 险 需 要 不 断 地 进行 风险 评估 ,发 现 
潜在 的 问题 。 风 险 评 估 往 往 从 这 两 个 方面 考虑 : 第 一 ,系统 受到 攻击 时 衣 江 的 可 能 性 大 小 ; 
第 二 ,一 些 意外 的 事件 对 系统 的 影响 。 上 述 可 能 性 是 一 个 不 确定 因素 , 它 会 随 着 环境 的 改变 
而 改变 ,这 就 意味 着 这 种 可 能 性 只 能 用 某 种 极限 的 形式 进行 预测 。 另 外 ,由 于 意外 事件 并 不 
一 定 总 是 如 意料 中 的 那样 发 生 ,这 就 决定 了 所 考虑 的 特殊 风险 对 系统 的 影响 也 是 一 个 不 确 
定 因素 。 由 于 这 些 因 素 痢 含有 大 量 的 不 确定 性 ,这 就 致使 准确 佑 计 这 些 因 素 成 为 一 件 非常 
困难 的 事情 。 

采取 安全 防范 措施 可 以 降低 风险 ,但 是 这 种 防范 措施 本 身 也 可 能 市 来 风险 。 通 第 而 言 ， 
要 彻底 根除 所 有 风险 是 不 可 能 的 ,一 方面 是 由 于 降低 风险 措施 所 增加 的 大 量 费 用 ,为 一 方面 
是 由 于 风险 本 身 具 有 很 强 的 不 确定 性 。 正 因为 这 样 ,一 些 参与 风险 总 是 必须 被 接受 。 在 高 
度 不 确定 的 环境 下 ,接受 风险 将 会 市 来 很 多 问题 。 
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PA05 : 评估 脆弱 性 


脆弱 性 信息 风险 信息 


PA02 : 评估 影响 芷 


4-7 与 风险 过 程 相关 的 过 程 


1) PA02: 评估 影响 

评估 影响 的 目的 在 于 识别 系统 可 能 受到 的 影响 ,并 评估 这 些 影响 发 生 的 可 能 性 。 影 响 
可 能 是 有 形 的 ,例如 税收 或 财政 罚球 的 损失 ; 也 可 能 是 无 形 的 ,例如 声誉 和 信誉 的 损伤 。 目 
标 是 为 了 确定 并 描述 风险 可 能 对 系统 带 来 的 安全 影响 。 

(1) 基本 实施 列表 。 

Q@ BP02. 01。 标 识 、 分 析 系 统 的 运行 .业务 或 任务 功能 ,并 对 这 些 功 能 的 优先 级 进行 排序 。 

@ BP02.02。 对 文 持 系统 的 关键 性 运行 能 力 或 安全 目标 的 系统 资产 进行 标识 和 描述 。 

GB) BP02. 03。 选 择 可 用 于 评估 的 影响 度量 准则 。 

4) BP02.04。 对 评估 中 使 用 的 度量 准则 与 所 需 的 转换 因子 (如 果 需 要 ) 之 间 的 关系 进 
行 确定 。 

(3) BP02.05。 标 识 和 描述 影响 。 

(0) BP02.06。 监 视 影 响 的 不 断 变化 。 

(2) 说 明 。 

Q@ BP02. 01。 对 功能 进行 优先 级 排序 ,用 来 对 机 构 的 运行 .业务 或 任务 功能 进行 标识 、 
分 析 和 优先 级 排列 ,还 应 考虑 到 业务 战略 可 能 受到 的 影响 。 这 些 行为 将 会 影响 和 缓解 一 个 
机 构 可 能 遭受 的 影响 ,也 会 继而 对 其 他 过 程 域 中 的 风险 评估 工作 产生 影响 。 

@ BP02.02。 标 识 系统 资产 ,标识 出 系统 中 为 文 持 系统 安全 目标 或 关键 功能 (运行 功 
能 .业务 功能 或 任务 功能 ) 所 必需 的 资源 和 数据 。 该 基本 实施 可 以 通过 评估 各 类 资产 在 给 定 
环境 中 (对 安全 目标 或 关键 功能 提供 支持 ) 的 重要 性 来 定义 出 各 类 资产 。 

G) BP02. 03。 选 择 影响 的 度量 规则 。 有 很 多 度量 准则 可 用 于 衡量 事件 的 影响 。 在 评 
估 之 前 ,应 预先 确定 采用 何 种 度量 准则 来 评估 具体 系统 面临 的 影响 ,选择 影响 的 度量 准则 。 

(4) BP02.04。 确 定 不 同 度量 准则 之 间 的 关系 。 某 些 影响 可 能 需要 使 用 不 同 的 度量 准 
则 进行 评估 ,因此 必须 确定 不 同 度量 准则 之 间 的 关系 ,以 确保 在 整个 影响 评估 中 使 用 一 致 性 
的 方法 对 所 有 影响 进行 评估 。 在 某 些 情况 下 ,还 需要 将 各 种 度量 准则 组 合 起 来 ,以 产生 唯一 
的 确定 性 结果 。 
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@ BP02.05。 标识 和 描述 影响 。 利 用 BP02. 01 和 BP02. 02 中 确定 的 资产 和 功能 信息 
来 确定 安全 事件 的 可 能 影响 。 对 每 一 项 资产 来 说 ,这 种 影响 可 能 包括 资产 的 破坏 、 泄 露 \ 阻 
断 或 丢失 。 功 能 的 影响 可 能 包括 拦截 、 延 迟 、 弱 化 。 一 旦 创建 了 相对 完整 的 影响 列表 , 便 可 
以 用 BP02. 03 和 BP02. 04 中 确定 的 度量 准则 或 度量 准则 的 组 合 来 描述 影响 ,其 中 可 能 还 要 
参考 机 构 的 保险 情况 、 财政 年 检 等 。 在 评估 中 ,要 考察 其 中 的 不 确定 性 ,并 与 影响 相 联 系 。 

(0) BP02.06。 监 视 影响 。 任 何 位 置 和 状态 下 的 影响 都 是 动态 变化 的 。 新 的 影响 可 以 
变 成 互 为 关联 。 因 此 ,需要 监视 现 有 影响 并 有 规律 地 检查 可 能 的 新 影响 。 该 基本 实施 与 
BP08. 02 中 的 通用 性 监视 活动 紧密 相连 。 

2) PA03: 评估 安全 风险 

评估 安全 风险 的 目的 在 于 标识 出 一 给 定 环境 中 某 一 系统 的 安全 风险 。 这 一 过 程 域 将 基 
于 机 构 的 功能 和 资产 在 面 对 威 胁 所 表现 出 的 脆弱 性 的 理解 而 确定 系统 的 安全 风险 。 该 工作 
特别 涉及 对 安全 事件 “暴露 ”的 可 能 性 进行 标识 和 评估 。“ 暴 露 ”一 词 指 的 是 可 能 对 系统 造成 
重大 伤害 的 威胁 .脆弱 性 和 影 啊 的 组 合 。 在 系统 生命 周期 的 任何 时 候 都 可 进行 这 一 系列 活 
动 ,以 便 对 已 知 环境 中 的 系统 的 开发 ,维护 和 运行 做 出 决策 。 

(1) 基本 实施 列表 。 

QD BP03.01。 选 择 用 于 分 析 、 评 估 和 比较 给 定 环 境 中 系统 安全 风险 依据 的 方法 、 技 术 
和 准则 。 

(BP03.02。 标识 威 胁 /脆弱 性 /影响 三 组 合 ( 皮 露 )。 

GB) BP03.03。 评 佑 与 每 个 骏 露 相关 的 风险 。 

由 BP03. 04。 评 估 与 风险 相关 的 总 体 不 确定 性 。 

@) BP03.05。 排 列 风险 的 优先 顺序 。 

@ BP03.06。 监 视 风 险 及 其 特征 的 不 断 变化 。 

(2) 说 明 。 

JW BP03.01。 选 择 风 险 分 析 方 法 ,定义 用 于 标识 一 给 定 环 境 中 系统 安全 风险 的 方法 ， 
以 对 安全 风险 进行 分 析 、 评 估 和 比较 。 它 还 包括 一 个 对 风险 进行 分 类 和 分 级 的 方案 。 

GO BP03. 02。 标 识 骏 露 。 标 识 威 胁 、 脆 弱 性 .影响 的 三 组 合 ( 骏 露 ) 。 标 识 骏 露 的 目的 
在 于 认识 这 些 威胁 和 脆弱 点 的 利害 关系 ,进而 标识 威胁 和 脆弱 性 造成 的 影响 。 这 些 暴 露 是 
选择 系统 保护 措施 时 必须 考虑 的 。 

(3) BP03. 03。 评 估 骏 露 的 风险 ,标识 出 每 一 个 骏 露 的 可 能 性 。 

由 BP03.04。 评 估 总 体 的 不 确定 性 。 每 种 风险 都 有 与 之 相关 的 不 确定 性 。 总 体 的 风 
险 不 确定 性 是 在 BP04. 05 评估 威胁 的 可 能 性 `.BP05. 03 收集 脆弱 性 数据 、BP02. 05 标识 和 
描述 影响 中 标识 的 不 确定 性 的 累积 。 本 实施 过 程 与 PA06 建立 保证 论据 联系 紧密 ,因为 保 
证 能 用 于 改变 (很 多 时 候 是 减低 ) 不 确定 性 。 

@ BP03.05。 排 列 风 险 优先 级 。 已 经 标识 的 风险 应 该 基于 机 构 的 优先 安排 .风险 出 现 
的 可 能 性 ,与 这 些 因素 相关 的 不 确定 性 以 及 可 用 的 财力 而 进行 排序 。 风 险 可 以 被 减轻 、 规 
避 、 转 移 或 接受 ,也 可 以 使 用 这 些 措施 的 组 合 。 

人 @ BP03.06。 监 视 风 险 及 其 特征 。 任 何 位 置 和 状态 下 的 风险 都 是 动态 变化 的 。 新 的 
风险 可 能 出 现 , 现 有 的 风险 也 会 发 生变 化 。 因 此 ,需要 有 规律 地 监视 现 有 风险 及 特征 ,并 检 
查 可 能 的 风险 。 该 基本 实施 与 BP08. 02 中 的 通用 性 监视 活动 紧密 相连 。 
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3) PA04: 评估 威胁 

评估 威胁 过 程 域 的 目的 在 于 标识 安全 威胁 及 其 性 质 和 特征 。 对 系统 安全 的 威胁 进行 标 
识 和 描述 。 

(1) 基本 实施 列表 。 

QD BP04.01。 标 识 由 自然 因素 所 引起 的 威胁 。 

GO BP04. 02。 标 识 由 人 为 因素 所 引起 的 无 意 或 有 意 的 威胁 。 

@ BP04. 03。 标 识 在 一 特定 环境 中 的 测量 单元 和 适用 范围 。 

(4) BP04.04。 评 估 由 人 为 因素 引起 的 威胁 主体 的 能 力 和 动机 。 

@) BP04.05。 评 估 威 胁 事件 出 现 的 可 能 性 。 

@ BP04.06。 监 视 威 胁 以 及 威胁 特征 的 变化 

(2) 说 明 。 

QD BP04. 01。 标 识 自然 威胁 ,有 自然 原因 引起 的 威胁 包括 地 震 海啸 和 台风 等 。 然 而 ， 
并 非 所 有 的 自然 威胁 都 会 在 所 有 地 方 发 生 。 因 此 ,重要 的 是 标识 出 在 一 具体 地 方 到 底 会 存 
在 哪 一 种 自然 威胁 。 

(BP04.02。 标 识 人 为 威胁 ,认为 原因 引起 的 威胁 与 自然 威胁 不 一 样 。 它 基本 有 两 种 
类 型 . 偶然 原因 引起 的 威胁 和 故意 原因 引起 的 威胁 。 在 某 些 环境 中 ,因为 不 涉及 人 为 威胁 ， 
可 以 在 经 过 分 析 后 取消 对 人 为 威胁 的 考察 。 

GB) BP04.03。 标 识 威胁 的 测量 单元 。 大 量 的 自然 和 人 为 威胁 都 有 其 与 之 相关 的 测量 
单元 。 例 如 地 震 的 里 氏 震 级 。 大 多 数 情 况 下 ,测量 单元 的 全 部 尺度 并 不 适用 于 一 次 具体 的 
评估 。 因 此 ,对 可 能 在 一 个 机 构 中 出 现 的 事件 ,可 根据 具体 情况 建立 最 大 和 最 小 测量 单元 。 

(4) BP04. 04。 评 估 威 胁 主 体 的 能 力 ,确定 可 能 对 系统 发 动 攻击 的 敌人 的 主观 能 力 和 客 
观 能 力 。 主 观 能 力 是 指 一 个 攻击 者 所 掌握 的 攻击 知识 (例如 经 过 的 训练 和 拥有 的 技能 ); 客 
观 能 力 是 指 一 个 有 能 力 的 敌人 实际 发 动 攻击 的 可 能 性 (例如 拥有 的 资源 ) 。 

@) BP04.05。 评 估 威 胁 的 可 能 性 ,对 威胁 事件 发 生 的 可 能 性 进行 评估 。 在 评估 中 需要 
考虑 多 种 因素 ,从 自然 事件 的 概率 到 人 员 的 有 意 或 无 意 行 为 的 概率 等 均 可 能 需要 评估 。 并 
不 是 说 这 些 所 有 因素 都 要 去 计算 或 测量 ,但 这 其 中 应 该 有 一 个 一 致 的 度量 准则 。 

(0) BP04.06。 监 视 威胁 及 其 特征 。 任 何 位 置 和 状态 下 的 威胁 都 是 动态 变化 的 。 新 的 
威胁 可 能 出 现 , 现 有 的 威胁 也 会 发 生变 化 。 因 此 ,需要 有 规律 地 监视 现 有 威胁 及 特征 ,并 检 
查 可 能 的 新 威胁 。 该 基本 实施 与 BP08. 02 中 的 通用 性 监视 活动 紧密 相连 。 

4) PA05: 评估 脆弱 性 

评估 安全 脆弱 性 的 目的 在 于 标识 和 描述 系统 的 安全 脆弱 性 。 本 过 程 域 包括 分 析 系 统 资 
产 、 定 义 具 体 的 脆弱 性 以 及 对 整个 系统 的 脆弱 性 进行 评估 。 与 安全 风险 和 脆弱 性 评估 有 关 
的 术语 ,在 许多 不 同 场 合 的 使 用 是 不 同 的 。 就 本 模型 的 用 途 而 言 ,“ 脆 弱 性 ” 指 的 是 可 被 利用 
完成 不 期 望 行为 的 系统 的 某 些 特征 ` 安 全 弱点 .漏洞 或 易 被 威胁 所 攻击 的 系统 实施 的 缺陷 。 
这 些 脆弱 性 与 任何 特定 的 威胁 或 攻击 的 形成 并 不 关联 。 本 过 程 域 的 活动 在 系统 生命 周期 内 
任何 时 间 都 可 进行 ,以 支持 在 已 知 环境 中 系统 的 开发 ,维护 和 运行 决策 。 目 标 是 获得 对 一 给 
定 环境 中 系统 安全 脆弱 性 的 理解 。 

(1) 基本 实施 列表 。 

QD BP05.01。 选 择 对 一 给 定 环境 中 的 系统 脆弱 性 进行 标识 和 描述 的 方法 、 技 术 和 
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标准 。 

(BP05.02。 识 别 系统 安全 脆弱 性 。 

(3) BP05. 03。 收 集 与 脆弱 性 属性 有 关 的 数据 。 

由 BP05. 04。 评 估 系 统 脆 弱 性 并 将 特定 脆弱 性 及 各 种 特定 脆弱 性 的 组 合 结果 进行 
综合 。 

(3) BP05.05。 监 视 脆 弱 性 的 变化 及 其 特征 的 变化 。 

(2) 说 明 。 

JW BP05.01。 选 择 脆 弱 性 分 析 方 法 ,包括 定义 系统 的 脆弱 性 分 析 方 法 ,以 对 安全 胸 弱 
性 进行 标识 和 描述 ,其 中 还 包括 脆弱 性 的 分 类 和 优先 级 排序 方案 ,以 威胁 及 其 可 能 性 、 系 统 
的 运行 功能 、 安 全 需求 或 其 他 为 基础 来 完成 脆弱 性 的 分 类 和 排序 。 

G@ BP05. 02。 标 识 脆弱 性 ,记录 系统 脆弱 性 。 

(3) BP05. 03。 收 集 脆弱 性 数据 。 脆 弱 性 有 有 自 号 的 属性 ,该 基本 实施 旨 在 收集 与 这 些 属 
性 有 关 的 数据 。 标 识 和 收集 脆弱 性 被 利用 的 难 易 程度 、 脆 弱 性 存在 的 可 能 性 等 数据 。 

由 BP05. 04。 综 合 系 统 的 脆弱 性 ,分 析 那 些 脆弱 性 或 脆弱 性 的 组 合 给 系统 带 来 的 问 
题 。 分 析 中 还 应 确定 该 脆弱 性 的 属性 特征 ,例如 脆弱 性 被 利用 以 及 被 成 功 攻 击 的 概率 ,并 提 
出 脆弱 性 的 综合 分 析 建 议 。 

(3) BP05.05。 监 视 脆 弱 性 及 其 特征 。 任 何 位置 和 状态 下 的 脆弱 性 都 是 动态 变化 的 ,新 
的 脆弱 性 可 以 从 中 产生 , 现 有 的 脆弱 性 的 特征 也 会 发 生变 化 。 因 此 ,需要 有 规律 地 监视 现 有 
脆弱 性 及 特征 ,并 检查 可 能 的 新 脆弱 性 。 该 基本 实施 与 BP08. 02 中 的 通用 性 监视 活动 紧密 
相连 。 

2. 工程 过 程 域 


与 其 他 工程 标准 一 样 ,安全 工程 也 是 一 个 包括 概念 、 设 计 、 实 施 部署、 维护 .更 新 等 多 个 
环节 的 过 程 。SSE-CMM 强调 ,安全 工程 师 是 整个 团队 中 非常 重要 的 一 个 部 分 ,必须 与 其 他 
团队 紧密 合作 ,这 样 才 能 有 助 于 使 安全 性 成 为 整个 大 过 程 中 的 一 部 分 而 不 是 仅 作 为 一 个 孤 
立 的 活动 。 安 全 工程 师 在 确定 安全 需求 时 要 用 到 多 方面 的 信息 ,包括 风险 过 程 中 产生 的 信 
息 ,以 及 其 他 关于 系统 需求 、 相 关 法 律 .政策 等 多 方面 的 信息 。 在 确定 了 安全 需求 后 ,安全 工 
程 师 将 针对 安全 需求 提出 一 系列 的 安全 解决 措施 。 解 决 措施 的 过 程 一 般 包 含 两 方面 工作 : 
首先 确定 可 能 的 代替 方案 ; 然后 评估 替代 方案 ,以 决定 哪 一 个 方案 更 合适 。 将 这 种 过 程 与 
其 余 活 动 相 集成 时 存在 一 个 难点 : 解决 措施 的 选择 不 能 仅 着 眼 于 安全 考虑 ,而 应 该 考虑 更 
广泛 的 因素 ,包括 费用 、 执 行情 况 .技术 风险 以 及 使 用 的 便 易 性 。 通 常 这 种 决策 必须 要 将 问 
题 再 次 发 生 的 可 能 性 降 至 最 低 ,这 一 步骤 中 产生 的 分 析 结 果 将 为 以 后 的 安全 保证 工作 打下 
一 个 坚实 的 基础 。 

与 工程 过 程 相 关 的 过 程 如 图 4-8 所 示 。 

1) PA01: 管理 安全 控制 

管理 安全 控制 的 目的 在 于 确保 已 集成 到 系统 设计 中 的 预期 的 系统 安全 性 确实 能 够 在 最 
终 系 统 运行 状态 中 实现 。 

(1) 基本 实施 列表 。 

Q@ BP01.01。 建 立 安全 控制 的 职责 和 可 追究 性 ,并 通知 到 机 构 中 的 每 一 个 人 。 

GO BP01.02。 管 理 系 统 安全 控制 的 配置 。 
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风险 信息 


PA10 : 确定 安全 需求 | PA10 : 确定 安全 需求 | J 


| 


要 求 、 政 策 等 一 | PA07 : 协调 安全 性 = 配置 信息 


PA09 : 提供 安全 输入 | 一 一 一 一 | 一 一 = |PA01 : 管理 安全 控制 


解决 方案 指导 等 
4-8 与 工程 过 程 相关 的 过 程 


(3) BP01.03。 管 理 所 有 的 用 户 和 管理 员 的 安全 意识 .培训 和 教育 项 目 。 

(4) BP01.04。 对 安全 服务 及 控制 机 制 的 定期 维护 和 管理 。 

(2) 说 明 。 

GO BP01.01。 建 立 安全 职责 ,本 过 程 应 确保 安全 责任 人 员 的 行为 能 够 得 到 追 踩 ( 即 可 
追究 性 ) ,并 授予 安全 责任 人 相应 的 行动 与 权力 。 同 时 也 应 该 确保 所 采用 的 所 有 安全 控制 是 
明确 的 并 且 一 致 性 的 应 用 。 此 外 还 应 该 确保 所 采纳 的 安全 管理 结构 ,不 但 要 通知 管理 层 内 
的 所 有 人 ,而 且 也 应 通知 整个 机 构 。 

@ BP01.02。 管 理 安全 配置 ,所 有 设备 的 安全 配置 需要 管理 。 由 于 系统 安全 很 大 程度 
上 依赖 于 许多 相关 组 件 ( 硬 件 、 软 件 与 程序 ) ,而 常规 配置 管理 实施 不 必 关 心安 全 系统 所 需 的 
互相 关联 性 。 

(3) BP01.03。 管 理 安全 意识 培养 ,培训 和 教育 项 目 , 所 有 员工 的 安全 意识 培养 ,培训 和 
教育 都 需要 管理 ,其 管理 方式 与 其 需要 管理 的 意识 .培训 和 教育 管理 方式 相同 。 

4) BP01.04。 管 理 安全 服务 及 控制 机 制 ,安全 服务 及 机 制 的 一 般 管 理 类 似 于 其 他 服务 
及 机 制 的 管理 ,这 包括 保护 它们 避免 破坏 、 偶 然 事 故 和 人 为 故障 ,并 与 法 律 和 政策 要 求 一 致 。 

2) PA07: 协调 安全 性 

协调 安全 的 目的 在 于 保证 所 有 团体 都 有 一 种 参与 安全 工程 活动 的 意识 ,并 确实 能 够 参 
与 到 安全 工程 活动 中 。 由 于 安全 工程 不 能 独立 地 取得 成 功 , 所 以 这 种 参与 工作 是 至 关 重 要 
的 。 这 种 协调 涉及 要 保持 所 有 项 目 人 员 与 外 部 团体 之 间 的 开放 交流 。 多 种 机 制 可 以 用 于 在 
这 些 团体 之 间 协 调和 沟通 安全 工程 的 决策 和 建议 ,包括 备忘录 文档. 电子 邮件 、 会 议和 工 
作 组 。 

(1) 基本 实施 列表 。 

Q@ BP07.01。 定 义 安全 工程 协调 目标 和 相互 关系 。 

@ BP07.02。 标 识 出 安全 工程 的 协调 机 制 。 

(G3) BP07.03。 促 进 安 全 工程 的 协调 。 

4) BP07.04。 用 标识 出 的 机 制 去 协调 有 关 安 全 的 决策 和 建议 。 

(2) 说 明 。 

Q BP07.01。 和 定义 协调 目标 ,许多 团体 需要 有 一 种 参与 安全 工程 的 意识 ,并 参与 到 安 
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全 工程 活动 中 。 要 通过 检查 项 目 结 构 \ 信 息 需 求 和 项 目 要 求 来 决定 与 这 些 团 体 共 享 信 息 的 
目标 。 建 立 与 其 他 团体 之 间 的 联系 和 承诺 (义务 关系 )。 成 功 的 联系 可 有 许多 形式 ,但 必须 
被 全 体 参 与 的 团体 所 知晓 、 接 受 。 

@ BP07.02。 识别 协调 机 制 , 有 许多 方法 可 以 与 其 他 工程 组 共享 安全 工程 的 决策 和 建 
议 。 本 活动 识别 在 项 目 中 协调 安全 的 不 同方 法 。 

G) BP07.03。 促 进 协 调 , 成 功 的 关系 依赖 于 良好 的 促进 手段 。 在 具有 不 同 优先 级 ( 重 
要 性 ) 的 不 同 机 构 之 间 进 行 沟 通 有 可 能 会 发 生 一 些 冲 突 。 该 基本 实施 确保 争端 以 合适 的 、 富 
有 成 果 的 方式 得 到 解决 。 

(4) BP07.04。 协 调 安 全 决定 和 建议 ,该 基本 实施 的 目的 在 于 在 各 种 安全 工程 师 、 其 他 
工程 组 、 外 部 实体 及 其 他 可 能 的 团体 中 沟通 安全 决策 和 建议 。 

3) PA08: 监视 安全 态势 

监视 安全 态势 的 目的 在 于 确保 标识 并 报告 所 有 的 可 能 导致 安全 问题 的 所 有 安全 违规 、 
试图 的 违规 或 错误 。 监 视 外 部 和 内 部 环境 可 能 对 系统 安全 造成 影响 的 所 有 因素 。 

(1) 基本 实施 列表 。 

J BP08.01。 分析 事 件 记 录 , 以 确定 事件 的 原因 、 过 程 以 及 将 来 可 能 出 现 的 事件 。 

@ BP08.02。 监 视 威胁 、 脆 弱 性 、 影 响 、 风 险 和 环境 方面 的 变化 。 

(3) BP08. 03。 识 别 与 安全 相关 的 突 发 事件 。 

(4) BP08.04。 监 视 安全 措施 的 性 能 和 功能 的 有 效 性 。 

@ BP08.05。 检 查 系 统 的 安全 状态 ,确定 有 必要 对 系统 实施 的 修改 。 

(6) BP08. 06。 管 理 对 相关 安全 相关 事件 的 啊 应 。 

@ BP08.07。 确 保安 全 监视 的 结果 得 到 适当 保护 。 

(2) 说 明 。 

OO BP08. 01。 分 析 事 件 记 录 ,检测 安 全 相关 性 信息 的 历史 和 事件 记录 (包括 日 志 记 
录 )。 通 过 多 条 记录 中 的 相关 事件 所 用 元 素 , 应 该 能 识别 出 感 兴趣 的 事件 。 之 后 ,多 条 事件 
记录 可 以 融 为 一 条 事件 记录 。 

多 BP08.02。 监 视 变化 ,查找 可 能 影响 当前 安全 态势 有 效 性 的 任何 变化 ,不 管 这 种 影 
啊 是 正面 的 还 是 负面 的 。 任 何 系统 实施 的 安全 应 该 与 威胁 .脆弱 性 .影响 和 风险 相关 联 , 因 
为 它们 与 系统 的 内 部 和 外 部 环境 有 关 。 这 些 因素 没有 一 个 是 静态 的 ,而 变化 既 影 响 有 效 性 ， 
也 影响 适应 性 。 必 须 监 视 所 有 因素 的 变化 ,并 分 析 这 些 变化 ,以 评估 它们 对 安全 有 效 性 的 
影响 。 

@ BP08.03。 识 别 安全 突 发 事件 ,判断 是 否 发 生 了 安全 事件 ,说明 事件 的 详细 情况 ,并 
在 必要 时 做 出 报告 。 安 全 事件 可 利用 历史 事件 的 数据 .系统 配置 数据 .完整 性 工具 和 其 他 系 
统 信息 来 检测 。 巾 于 某 些 事件 会 经 过 一 个 较 长 周期 时 间 后 才 出 现 , 因 此 这 种 分 析 可 能 涉及 
与 系统 长 时 间 状 态 进行 比较 。 

(4) BP08.04。 监 视 安 全 防护 措施 ,检测 安全 措施 的 性 能 ,以 标识 出 安全 措施 性 能 的 
变化 。 

@ BP08.05。 检 查 安 全 态势 。 由 于 威胁 环境 、 运 行 需求 和 系统 配置 等 方面 会 出 现 变 
化 ,一 个 系统 的 安全 态势 可 能 会 发 生 改 变 。 本 实施 在 于 复查 系统 中 实施 安全 的 理由 ,并 审查 
对 其 他 工程 领域 或 其 他 方面 提出 的 安全 需求 。 
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@) BP08.06。 管 理 安全 突 发 事件 啊 应 ,在 许多 情况 中 ,系统 的 连续 可 用 性 是 非常 关键 
的 。 由 于 许多 事件 不 能 预防 ,因而 对 破坏 的 啊 应 能 力 是 至 关 重 要 的 。 应 急 计 划 要 求 标识 出 
允许 系统 失效 的 最 长 时 间 ; 标识 出 系统 中 的 重要 功能 组 件 ; 标识 出 并 制订 恢复 战略 和 计 
划 ; 测试 这 个 计划 并 进行 维护 。 在 某 些 情况 中 ,应 急 措施 可 能 包括 对 突 发 事件 的 啊 应 和 与 
攻击 者 (例如 病毒 .黑客 等 ) 的 对 抗 。 

@ BP08.07。 保护 安全 监视 的 记录 数据 ,如 果 监 视 活动 的 成 果 不 可 信任 ,那么 监视 活 
动 就 没有 价值 。 本 实施 包括 对 相关 日 志 、 审 计 报 告 和 相关 分 析 结 果 的 封存 与 归档 。 

4) PA09: 提供 安全 输入 

提供 安全 输入 的 目的 在 于 为 系统 的 规划 者 、 设 计 者 、 实 施 者 或 使 用 者 提供 他 们 所 需 的 安 
全 信息 。 这 些 信 息 包 括 安全 体系 结构 .设计 或 实施 的 备 选 方案 以 及 安全 指南 。 同 时 与 基于 
PA10 ”确定 安全 需求 ”中 标识 的 安全 需求 ,安全 输入 可 以 面向 必要 的 机 构成 员 而 产生 、 分 析 
和 提供 。 此 外 ,还 应 在 这 些 成 员 间 协调 一 致 。 

(1) 基本 实施 列表 。 

JW BP09. 01。 与 设计 者 、 开 发 者 和 用 户 合作 ,确保 各 方 对 安全 输入 需求 达成 共同 的 
理解 。 

@ BP09.02。 判 断 在 工程 选择 时 所 需 的 安全 约束 和 安全 考虑 。 

GB) BP09.03。 标 识 出 与 安全 相关 的 工程 问题 备 选 解决 方案 。 

由 BP09.04。 利 用 安全 约束 和 考虑 因素 对 工程 的 备 选 方案 进行 分 析 并 区 分 优先 级 。 

@ BP09.05。 问 其 他 工程 组 提供 安全 相关 的 指南 。 

@ BP09.06。 向 运行 系统 的 用 户 和 管理 员 提 供与 安全 相关 的 指南 。 

(2) 说 明 。 

Q@ BP09. 01。 理 解 安 全 输入 要 求 ,安全 工程 与 其 他 领域 相 协 调 , 以 判断 这 些 领域 所 需 
的 安全 输入 的 类 型 。 安 全 输入 包括 与 安全 相关 的 指南 、 设 计 、 文 档 或 思想 。 输 入 可 以 为 多 种 
形式 ,包括 文档 ` 备忘录 .电子 邮件 .培训 和 咨询 。 这 些 输入 基于 PA10“ 确 定安 全 需求 ”中 的 
安全 需求 。 例 如 ,软件 工程 师 就 可 能 需要 一 套 安 全 规则 文 持 其 工作 。 同 系统 相 比 , 某 些 输入 
与 环境 的 关联 性 更 强 。 

GO BP09. 02。 确 定安 全 约束 和 考虑 ,该 基本 实施 的 目的 在 于 为 工程 组 确定 所 有 的 安全 
约束 和 考虑 。 安 全 工程 组 完成 分 析 , 从 而 为 需求 ` 设 计 、 实 现 . 配 置 和 文档 等 确定 所 有 的 安全 
约束 和 考虑 。 安 全 约束 可 在 系统 生命 期 内 的 所 有 时 间 进 行 标识 ,并 且 可 在 许多 不 同 的 抽象 
层 上 进行 标识 。 注 意 这 些 约束 或 是 肯定 的 (总 是 如 此 ) 或 是 否定 的 (绝对 禁止 如 此 ) 。 

GB) BP09. 03。 标 识 安全 备 选 方案 ,该 基本 实施 的 目的 在 于 标识 出 与 安全 相关 的 工程 问 
题 的 备 选 解 决 方案 。 这 一 过 程 要 反复 进行 ,将 与 安全 相关 的 需求 转化 为 具体 的 实现 。 这 些 
解决 办 法 可 以 多 种 形式 提供 ,如 体系 结构 、 模 型 和 原型 。 该 基本 实施 涉及 对 安全 相关 需求 的 
分 解 、 分 析 和 重组 ,直到 确定 有 效 的 备 选 方案 。 

(4) BP09.04。 分 析 工 程 备 选 方案 的 安全 性 ,该 基本 实施 的 目的 在 于 分 析 和 排列 工程 备 
选 方案 的 优先 级 。 使 用 BP09. 02 中 确定 的 安全 约束 和 考虑 ,安全 工程 师 可 以 评估 每 个 工程 
备 选 方案 ,并 向 安全 工程 组 提交 建议 。 此 外 ,安全 工程 组 还 应 考虑 其 他 工程 组 的 工程 指南 。 
这 些 工 程 备 选 方案 不 限于 BP09. 03 所 标识 的 安全 备 选 方案 ,还 可 以 包括 来 自 其 他 领域 的 备 
选 方 案 。 
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@ BP09. 05。 提 供 安 全 工程 指南 ,该 基本 实施 的 目的 在 于 制定 安全 相关 的 指南 并 把 它 
提供 给 工程 组 。 安 全 工程 指南 用 于 工程 组 对 体系 结构 .设计 和 实现 做 出 决策 。 

(0) BP09. 06。 提 供 运 行 安全 指南 ,该 基本 实施 的 目的 在 于 ,开发 与 安全 相关 的 指南 并 
提供 给 系统 用 户 和 管理 员 ,告诉 用 户 和 管理 员 应 以 安全 的 方式 进行 安装 .配置 、. 运 行 和 终止 
系统 。 为 确保 这 一 目的 ,运行 安全 指南 的 开发 应 在 生命 周期 内 提早 开始 。 

5) PA10: 确定 安全 需求 

确定 安全 需求 的 目的 在 于 明确 标识 出 系统 的 安全 相关 需求 。 确 定安 全 需求 涉及 为 系统 
安全 定义 基本 原则 ,以 此 满足 有 关 安 全 的 所 有 法 律 \ 策 略 、 组 织 要 求 。 安 全 需求 应 该 基于 系统 
的 目标 运行 安全 背景 、 当 前 的 安全 和 机 构 的 系统 环境 以 及 已 标识 的 安全 目标 集 来 进行 对 照 。 

(1) 基本 实施 列表 。 

(QD BP10. 01。 获 得 对 客户 安全 需求 的 理解 。 

GO BP10.02。 标识 出 影响 到 系统 的 法 律 、 政 策 、 标 准 、 外 部 影响 和 有 关 约 束 。 

@ BP10.03。 标 识 出 系统 的 用 途 , 以 此 来 决定 安全 背景 。 

由 BP10.04。 对 系统 运行 形成 一 个 高 层 的 面向 安全 的 认识 。 

@) BP10.05。 形 成 高 层 目标 ,以 定义 系统 安全 。 

@ BP10.06。 为 系统 中 实施 的 保护 定义 出 一 套 一 致 的 声明 。 

(D BP10.07。 大 成 一 致 认识 ,使 具体 的 安全 需求 能 够 满足 客户 的 要 求 。 

(2) 说 明 。 

QD BP10.01。 获 得 对 客户 安全 需求 的 理解 。 该 基本 实施 的 目的 在 于 收集 所 有 有 助 于 
全 面 理解 客户 安全 需求 的 信息 。 这 些 需 求 受 到 安全 风险 对 客户 重要 性 的 影响 。 系 统 预期 运 
行 的 目标 环境 也 会 影响 客户 与 安全 相关 的 需求 。 

@ BP10.02。 标 识 有 关 的 法 律 .政策 和 约束 。 该 基本 实施 的 目的 在 于 收集 所 有 可 能 对 
系统 安全 产生 影响 的 外 部 影响 。 可 能 的 外 部 影响 包括 法 律 法规 .策略 和 商业 标准 。 全 局 和 
局 部 政策 的 优先 权 应 得 到 确定 。 必 须 说 明 系 统 客 户 提 出 的 安全 需求 ,并 从 中 理解 其 安全 

(3) BP10.03。 识 别 系统 安全 背景 。 该 基本 实施 的 目的 在 于 说 明 系 统 的 背景 是 如 何 影 
响 安 全 的 。 它 涉及 对 系统 (例如 情报 金融、 医疗 ) 用 途 的 理解 。 系 统 的 任务 处 理 和 运行 概要 
均 要 在 安全 考虑 下 加 以 评估 。 应 对 系统 面临 的 威胁 深入 理解 。 评 估 性 能 和 功能 需求 对 安全 
可 能 产生 的 影响 。 运 行 的 约束 条 件 也 要 受到 检查 ,以 考察 其 对 安全 的 影响 。 为 定义 系统 的 
安全 边界 ,环境 可 能 也 包括 与 其 他 机 构 或 系统 的 接口 。 要 标识 接口 组 件 位 于 安全 边界 的 内 
侧 或 外 侧 。 机 构 的 许多 外 部 因素 也 影响 机 构 的 安全 需求 。 这 些 因素 包 括 策略 上 的 倾向 性 和 
政策 重点 的 改变 .技术 发 展 、 经 济 影 响 、 全 局 性 事件 以 及 信息 战 。 由 于 这 些 因 素 没 有 一 个 是 
静态 的 ,因此 需要 监视 和 定期 地 评估 这 些 变化 可 能 造成 的 影响 。 

曲 BP10. 04。 形 成 对 系统 运行 的 安全 认识 。 该 基本 实施 的 目的 在 于 形成 一 个 高 层 的 、 
面 问 安全 的 认识 ,包括 角色 、 职 责 、 信 息 流 资产 资源、 人员 保 护 以 及 物理 保护 ,还 要 考虑 在 
安全 要 求 的 约束 下 机 构 如 何 运 作 。 这 些 应 在 运行 安全 概念 中 提出 来 ,而 且 应 该 包括 对 系统 
体系 结构 .流程 和 环境 的 高 层面 的 安全 认识 。 与 系统 开发 环境 有 关 的 要 求 也 要 在 这 一 阶段 
进行 收集 。 

@) BP10.05。 形 成 安全 的 高 层 目标 。 该 基本 实施 的 目的 在 于 标识 出 为 了 加 运行 环境 
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中 的 系统 提供 足够 的 安全 而 需 满足 的 安全 目标 。PA06“ 建 立 保证 论据 ”中 确定 的 系统 保证 
目标 也 会 对 安全 目标 产生 影响 。 

@) BP10.06。 定 义 安全 相关 需求 。 该 基本 实施 的 目的 在 于 定义 系统 的 安全 相关 需求 。 
这 一 实施 应 确保 每 个 需求 与 相关 的 政策 法律、 标准 、 安 全 要 求 以 及 系统 的 约束 条 件 协 调 一 
致 。 这 些 需求 应 完备 地 定义 出 系统 的 安全 需求 ,包括 那些 通过 非 技 术 手 段 提 供 的 需求 。 通 
常 有 必要 定义 或 确定 目标 的 逻辑 或 物理 边界 ,以 确保 所 有 的 方面 都 被 提 到 。 这 些 需求 应 与 
系统 目标 建立 映射 关系 或 发 生 关 联 。 与 安全 相关 的 需求 应 被 清楚 地 简明 地 陈述 ,而 且 彼此 
不 应 发 生 矛 盾 。 无 论 何 时 ,安全 都 应 将 对 系统 功能 和 性 能 的 任何 影响 降 到 最 小 。 安 全 相关 
需求 将 为 目标 环境 中 的 系统 安全 性 提供 评价 的 基础 。 

Q@ BP10.07。 达 成 对 安全 的 一 致 性 认识 。 该 基本 实施 的 目的 在 于 ,使 所 有 有 关 团 体 就 
安全 需求 达成 一 致 性 意见 。 当 讨论 普遍 性 用 户 时 ,安全 需求 要 满足 安全 目标 集 。 具 体 化 的 
安全 应 能 完备 地 .一致 地 反映 有 关 的 政策 、 法 律 和 用 户 需 求 。 在 未 达成 一 致 性 意见 之 前 ,应 
标识 出 相关 问题 ,必要 时 可 以 返工 。 

3. 与 保证 过 程 相 关 的 过 程 域 

SSE-CMM 认为 ,保证 是 指 安全 需要 得 到 满足 的 信任 程度 ,SSE-CMM 的 信任 程度 来 自 
于 安全 工程 过 程 可 重复 性 的 结果 质量 。 与 保证 过 程 相 关 的 过 程 如 图 4-9 所 示 。 


太一 一 保证 论据 
其 他 多 个 PA | 一 一 一 国 


4-9 与 保证 过 程 相 关 的 过 程 


1) PA11: 验证 与 确认 安全 。 

验证 和 确认 安全 的 目的 在 于 确保 工程 解决 办 法 能 够 得 到 验证 和 确认 。 通 过 观察 .示范 、 
分 析 和 测试 ,解决 方案 要 在 安全 需求 .体系 结构 和 设计 等 方面 得 到 检查 。 客 户 的 运行 安全 验 
证 将 进一步 对 该 方案 提供 确认 。 

(1) 基本 实施 列表 。 

QD BP11. 01。 标 识 待 验证 和 确认 的 解决 方案 。 

GO BP11.02。 和 定义 验证 和 确认 的 办 法 和 严格 程度 。 

B) BP11. 03。 验 证 解决 方案 是 否 实现 了 与 上 一 抽象 层 相 关 的 要 求 。 

4) BP11.04。 验 证 解决 方案 是 否 能 最 终 满足 客户 的 运行 安全 需求 。 

@ BP11.05。 为 其 他 工程 组 收集 验证 和 确认 的 结果 。 

(2) 说 明 。 

Q BP11.01。 标 识 验证 和 确认 对 象 。 该 基本 实施 的 目的 在 于 分 别 标识 出 验证 和 确认 
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的 对 象 。 验 证 行为 可 证 明 解 决 方案 已 得 到 了 正确 的 实施 ,而 确认 行为 则 证 明了 解决 办 法 是 
有 效 的 。 它 也 涉及 与 整个 生命 周期 内 所 有 工程 组 的 协调 。 

多 BP11.02。 和 定义 验证 和 确认 方法 。 该 基本 实施 的 目的 在 于 定义 验证 和 确认 的 方法 
和 严格 程度 。 标 识 过 程 涉及 选择 哪 一 种 方法 去 对 工程 中 每 个 需求 实施 验证 和 确认 。 严 格 程 
度 可 说 明 验 证 和 确认 的 力度 ,这 要 受到 PA06“ 建 立 保证 论据 ”中 保证 战略 的 影响 。 例 如 , 某 
些 项 目 只 对 需求 的 符合 性 进行 简单 的 审查 ,而 另 一 些 则 可 能 要 求 非常 严格 的 检查 。 这 一 方 
法 论 还 应 包括 维护 可 跟 踊 性 的 手段 , 跟 踊 的 内 容 很 多 ,从 客户 的 运行 安全 需求 到 安全 需要 ， 
到 解决 办 法 ,再 到 验证 和 确认 结果 的 方法 。 

GB) BP11.03。 实 施 验 证 。 该 基本 实施 的 目的 在 于 验证 解决 方案 是 否 实 现 了 上 一 抽象 
层 相 关 的 要 求 ,包括 PA06“ 建 立 保证 论据 ”中 所 标识 的 保证 要 求 ,从 而 验证 解决 方案 是 正确 
的 。 有 许多 验证 需求 的 方法 ,包括 测试 分析、 观察 和 演示 。 所 用 的 方法 在 BP11. 02 中 标 
识 。 局 部 需求 和 整个 系统 的 需求 都 要 受到 检测 。 

@ BP11. 04。 实 施 确认 。 该 基本 实施 的 目的 在 于 验证 解决 办 案 能 否 最 终 满足 客户 的 
运行 安全 需求 。 有 多 种 方法 可 以 用 来 完成 这 项 工作 ,包括 在 一 个 运行 环境 或 有 代表 性 的 测 
试 环境 中 去 测试 解决 方案 。 所 使 用 的 方法 应 在 BP11. 02 中 被 标识 。 

@ BP11.05。 提 供 验 证 和 确认 的 结果 。 该 基本 实施 的 目的 在 于 为 其 他 工程 收集 并 提 
供 验 证 和 确认 的 结果 。 验 证 和 确认 的 结果 应 以 某 种 易 被 理解 和 使 用 的 方式 所 提供 。 所 有 结 
果 应 被 跟踪 ,以 确保 需求 、 解 决 办 案 以 及 测试 结果 的 可 跟踪 性 。 

2) PA06: 建立 保证 论据 

建立 保证 论据 的 目的 在 于 清楚 地 告诉 客户 ,其 安全 需求 已 获 满足 。 一 个 保证 论据 是 一 
系列 清晰 陈述 的 保证 目标 。 这 些 目标 是 由 多 个 保证 证 据 所 文 持 ,保证 证 据 的 来 源 和 抽象 级 
各 不 相同 。 

本 过 程 包括 标识 和 和 定义 保证 需求 .证 据 的 产生 和 分 析 活 动 、 文 持 保 证 需求 所 需 的 附加 证 
据 。 此 外 ,对 这 些 活动 所 生成 的 证 据 进行 收集 .整理 并 准备 提交 。 

(1) 基本 实施 列表 。 

QD BP06. 01。 标 识 安 全 保证 目标 。 

多 BP06.02。 和 定义 面 回 所 有 保证 目标 的 安全 保证 战略 。 

@ BP06. 03。 识 别 并 控制 安全 保证 证 据 。 

由 BP06. 04。 对 安全 保证 证 据 进 行 分 析 。 

@ BP06.05。 提 供 安 全 保证 论据 ,以 证 明 客 户 的 安全 需求 得 到 满足 。 

(2) 说 明 。 

QD BP06. 01。 标 识 安 全 保证 目标 ,由 客户 确立 的 保证 目标 显示 了 用 户 对 系统 安全 性 的 
信任 程度 。 系 统 安 全 保证 目标 规定 了 系统 安全 策略 所 提供 的 安全 可 信 程 度 。 该 目标 的 充分 
性 由 开发 者 、 集 成 者 、 客 户 和 签字 机 关 共 同 确定 。 对 新 增 的 安全 保证 目标 或 已 有 目标 的 修改 
均 须 得 到 确认 ,该 工作 要 在 工程 机 构 内 部 和 外 部 安全 相关 人 员 间 得 到 协调 (例如 客户 、 系 统 
安全 认证 机 构 、 签 字 机 关 、 用 户 等 )。 为 反映 变化 ,应 不 断 更 新 安全 保证 目标 。 安 全 保证 目标 
必须 清晰 地 沟通 ,以 确保 没有 异议 。 如 有 必要 ,应 加 入 合适 的 解释 。 

(BP06.02。 定 义 保证 战略 ,安全 保证 战略 的 目的 在 于 规划 并 确保 安全 目标 能 够 正确 
地 实现 。 安 全 保证 战略 在 实施 中 所 产生 的 证 据 应 能 (向 系统 的 签字 机 关 ) 提 供 一 个 可 接受 的 
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信心 级 ,使 其 确信 系统 的 安全 措施 足以 管理 安全 风险 。 通 过 制定 和 实施 安全 保证 战略 ,可 实 
现 对 保证 活动 的 有 效 管理 。 对 保证 需求 的 尽早 标识 和 定义 对 于 产生 必要 的 支撑 性 证 据 是 必 
要 的 。 通 过 不 断 外 部 协调 来 理解 和 查看 客户 对 保证 需求 的 满意 程度 ,这 有 助 于 确保 得 到 高 
质量 的 保证 需求 包 。 

GB) BP06. 03。 控 制 保 证 证 据 , 安 全 保证 证 据 要 根据 安全 保证 战略 中 的 定义 ,通过 与 所 
有 安全 工程 过 程 域 相 互 配合 ,在 不 同 抽象 层面 上 标识 出 保证 证 据 。 这 些 证 据 要 受到 控制 ,以 
确保 对 当前 的 工作 结果 具有 通用 性 ,对 安全 保证 目标 具有 关联 性 。 

(4) BP06. 04。 分 析 证 据 , 引 入 保证 证 据 分 析 , 是 为 了 保证 所 收集 的 证 据 能 满足 安全 目 
标 , 从 而 满足 顾客 的 安全 需求 。 对 保证 证 据 的 分 析 可 说 明 系 统 安全 工程 和 安全 验证 过 程 是 
否 充分 且 足 够 ,因而 可 以 判断 安全 机 制 和 安全 特性 是 否 令 人 满意 地 被 实现 。 此 外 ,对 保证 证 
据 的 分 析 ,确保 了 工程 实施 结果 相对 于 基线 系统 是 完善 和 正确 的 。 在 保证 证 据 不 充分 或 不 
足够 的 情况 下 ,本 分 析 可 能 导致 对 支持 安全 目标 的 系统 、 安 全 工作 结果 和 过 程 进行 必要 的 
修订 。 

@) BP06. 05。 提 供 保证 论据 ,开发 出 一 个 全 面 的 安全 保证 证 据 , 以 表明 对 安全 保证 目 
标的 遵循 性 ,并 将 保证 证 据 提 供给 客户 。 保 证 论据 是 一 系列 已 声明 的 保证 目标 的 集合 ,由 多 
层 抽象 度 的 保证 证 据 所 支持 。 为 了 满足 安全 目标 ,必须 对 提交 证 据 中 的 缺陷 和 安全 保证 目 
标 中 的 缺陷 进行 审查 。 


4.3.3 ”项目 过 程 域 和 组 织 过 程 域 


项 目 工 程 域 包括 5 个 过 程 : PA12, 质 量 保证 ; PA13, 配 置 管 理 ; PA14, 项 目 风 险 管理 ; 
PA15 ,技术 成 果 的 监控 ; PA16, 技 术 成 果 的 计划 。 在 组 织 过 程 域 中 包括 6 个 过 程 : PA18， 
提高 组 织 系 统 工 程 过 程 ; PA19, 产 品 线 进展 管理 ; PA20, 系 统 安 全 工程 支持 环境 管理 ; 
PA21 ,提供 在 人 研 的 技术 和 知识 ; PA22 ,与 供应 商 协调 。 

这 两 类 过 程 域 虽 然 并 不 直接 同系 统 相 关 , 但 它们 通过 安全 过 程 域 的 协调 来 保证 安全 工 
程 的 实施 。 


4.4 SSE-CMM 能 力 级 别 


4.4.1 SSE-CMM 能 力 级 别 简介 


过 程 能 力 是 由 一 组 通用 实施 (GP) 来 衡量 ,通用 实施 是 对 所 有 工程 过 程 都 通用 的 工程 实 
践 。 按 照 工程 对 于 对 通用 实践 的 执行 情况 ,可 以 将 每 个 过 程 域 按 能 力 的 高 低 分 为 6 个 级 别 ， 
从 第 0 一 5 级 分 别 为 未 执行 级 、 非 正式 执行 级 、 计 划 和 跟 踊 级 、 充 分 定义 级 、 量 化 控制 级 及 持 
续 改进 级 。SSE-CMM 的 6 个 能 力 级 别 和 公共 特征 ,如 图 4-10 所 示 。 

1. 能 力 级 别 0: 未 执行 级 

0 级 能 力 水 平 指 未 执行 能 力 级 。 未 执行 能 力 级 的 过 程 没 有 共同 特征 (CF) 和 通用 实施 
(GP) ,在 开发 过 程 中 没有 安全 工程 思想 的 应 用 ,但 是 当 工 程 队 伍 中 的 关键 人 物 不 在 或 者 当 
过 程 本 和 号 变 得 越 来 越 复杂 时 ,就 难以 保证 任务 的 完成 。 
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计划 执行 ”| 定义 一 个 标准 过 程 “| 建立 可 测量 的 | 改进 组 织 能 
执行 基本 实践 训练 执行 “| 换行 已 定义 的 过 程 ”| 质量 目标 改进 有 效 性 

跟 路 执行 “| 协调 安全 实践 客观 管理 执行 

检验 执行 


4-10 SSE-CMM 的 6 个 能 力 级 别 和 公共 特征 


2. 能 力 级 别 1: 非 正 式 执行 级 

1 级 能 力 水 平 指 非 正 常 执行 的 能 力 水 平 。 所 有 的 基本 实施 在 一 定 程 度 上 都 能 被 执行 ， 
因而 对 过 程 能 力 缺 少 连 续 的 计划 和 跟踪 。 产 品质 量 和 生产 效率 由 工程 队伍 的 所 有 人 员 的 出 
色 工 作 来 保证 。 过 程 的 执行 还 主要 靠 经 验 , 对 执行 结果 无 明确 要 求 ,所 以 执行 活动 的 能 力 是 
不 可 重复 和 被 其 他 过 程 所 借鉴 的 。 

3. 能 力 级 别 2: 计划 和 跟踪 级 

2 级 能 力 水 平 是 指 具 有 计划 与 跟 踊 的 过 程 能 力 , 它 取决 于 安全 工程 基本 实施 的 效率 , 因 
此 与 基本 实施 有 关 的 工作 过 程 可 以 被 总 结 和 控制 。 它 与 1 级 能 力 水 平 的 不 同 之 处 在 于 此 过 
程 中 的 基本 实施 是 可 以 重复 和 被 其 他 组 织 借鉴 的 。 

4. 能 力 级 别 3: 充分 定义 级 

3 级 能 力 水 平 是 指 完好 定义 的 能 力 级 水 平 。 过 程 中 的 所 有 基本 实施 应 按照 完善 定义 的 
规范 来 进行 ,这 些 规 范 是 工程 队伍 根据 长 期 经 验 而 总 结 出 来 的 。 它 与 2 级 能 力 水 平 的 不 同 
之 处 在 于 定义 了 一 个 被 接受 的 标准 规范 ,基本 的 实施 可 以 反映 出 过 程 的 特征 ,过 程 的 能 力 可 
以 直接 转 到 其 他 工程 活动 中 。 

5. 能 力 级 别 4: 量化 控制 级 

4 级 能 力 水 平 是 定量 控制 级 水 平 。 对 每 个 已 定义 的 过 程 和 相 联 系 的 工作 都 设 定 出 可 度 
量 的 过 程 目标 ,可 以 对 工程 队伍 和 工程 的 进展 进行 定量 的 预测 和 控制 。 它 与 能 力 级 别 3 的 
主要 区 别 是 所 定义 的 过 程 是 可 量化 理解 和 控制 的 。 

6. 能 力 级 别 5: 持续 改进 级 

5 级 能 力 水 平 是 持续 完善 的 能 力 水 平 。 从 过 程 能 力 的 角度 看 , 它 是 最 高 水 平 , 在 此 水 平 
下 已 经 建立 了 对 过 程 效 率 的 定性 和 定量 的 目标 ,而 且 可 以 准确 地 度量 过 程 持续 改善 所 获得 
的 效益 。 它 与 能 力 级 别 4 的 主要 区 别 是 基于 对 这 些 过 程 变 化 效果 的 量化 理解 ,工程 中 既定 
过 程 和 标准 过 程 将 得 到 不 断 的 改进 和 提高 。 


4.4.2 能 力 级 别 与 通用 实施 的 确定 


能 力 级 别 反映 一 组 共同 特性 ,而 每 组 共同 特性 可 由 通用 实施 来 描述 ,具体 关系 如 表 4-1 
所 示 。 
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表 4-1 能 力 级 别 \ 公 共 特 征 及 通用 实施 的 关系 


能 力 级 别 公共 特征 通用 实施 (GP) 
0， 未 执行 | 
1. 非 正 式 执行 级 CF1.1 执行 基本 实施 GP1. 1. 1 执行 过 程 
GP2. 1. 1 分 配 资源 
GP2. 1. 2 分 配 责任 
GP2.1. 3 文档 化 过 程 
CF2.1 规划 执行 GP2. 1. 4 提供 工具 
GP2. 1. 5 确保 培训 
、 GP2. 1. 6 规划 过 程 
2 和 0 GP2.2.1 使 用 计划 .标准 和 流程 
1 GP2. 2. 2 进行 配置 管理 
| GP2. 3. 1 验证 过 程 遵 循 性 
CF2.4 跟踪 执行 GP2. 4. 1 通过 测量 进行 跟踪 
A GP2. 4.2 采取 修正 措施 
、 GP3. 1. 1 对 过 程 进行 标准 化 
GI9 LE FE GP3. 1.2 裁减 标准 过 程 
.2. 1 使 用 充分 定义 的 过 程 
、 CF3.2 执行 既定 过 程 .2. 2 执行 缺陷 审查 
3. 充分 定义 级 .2. 3 使 用 充分 定义 的 数据 
.3. 1 执行 组 内 协调 
CF3.3 协调 安全 实施 .3. 2 执行 组 间 协 调 
.3. 3 执行 外 部 协调 
CF4.1 建立 可 测 的 质量 目标 GP4. 1. 1 建立 质量 目标 
4. 量化 控制 级 GP4. 2. 1 确定 过 程 能 力 
CF4.2 客观 的 管理 过 程 的 执行 情况 GP4 2 2 使 用 过 程 能 力 
GP5. 1. 1 建立 过 程 的 有 效 性 目标 
CF5.1 改进 机 构 的 能 力 GP5. 1.2 持续 改进 标准 过 程 
5. 持续 改进 级 GP5. 2. 1 执行 原因 分 析 
CF5.2 改进 过 程 的 有 效 性 GP5. 2. 2 消除 缺陷 原因 
GP5. 2. 3 持续 改进 既定 过 程 


系统 安全 工程 能 力 成 熟 度 模型 (SSE-CMM) 是 一 种 衡量 安全 工程 实践 能 力 的 方法 ,是 
一 种 使 用 面向 工程 过 程 的 方法 。 通 过 对 安全 工程 过 程 的 管理 ,将 系统 安全 工程 转变 为 一 个 
完好 定义 的 .成 熟 的 、 可 测量 的 过 程 ,具有 此 类 成 熟 过 程 的 组 织 开发 的 安全 系统 或 产品 具有 
较 高 安全 确信 和 度 可 重复 性 。SSE-CMM 模型 的 主要 任务 就 是 评测 和 改进 整个 信息 安全 系统 
整个 生命 周期 当中 的 安全 工程 活动 ,到 目前 为 止 , 这 个 模型 是 信息 系统 安全 工程 领域 当中 可 
靠 性 较 高 的 针对 性 模型 。 


> C0 I 5 一 


站 是 


. SSE-CMM 工程 过 程 包含 哪些 部 分 ? 它们 之 间 如 何 协同 工作 ? 
. ISSE 与 SSE-CMM 有 什么 不 同 ? 

. 简单 描述 应 用 SSE-CMM 确定 组 织 的 安全 工程 过 程 能 力 的 步骤 。 
. 使 用 SSE-CMM 有 什么 好 处 ? 它 适 用 于 哪些 场合 ? 


15 


第 5 革 信息 安全 风险 省 理 与 风险 评估 


本 章 学 习 目 标 : 
。 了 解 风险 管理 的 基本 概念 。 
。 掌握 信息 安全 风险 评估 方法 。 


5.1.1 信息 安全 风险 管理 概述 


风险 管理 最 早起 源 于 美国 。 由 于 受 20 世纪 30 年 代 世 界 性 经 济 危 机 的 影响 ,美国 大 量 
的 银行 和 企业 破产 。 为 应 对 经 营 上 的 危机 ,许多 大 中 型 企业 都 在 内 部 设立 了 保险 管理 部 门 ， 
负责 安排 企业 的 各 种 保险 项 目 。 当 时 的 风险 管理 主要 依赖 保险 手段 。1970 年 以 后 , 随 着 企 
业 面 临 的 风险 复杂 多 样 和 风险 费用 的 增加 ,法 国 从 美国 引进 了 风险 管理 并 在 法 国 国内 开始 
传播 。 同 时 ,日 本 也 开始 了 风险 管理 研究 。 风 险 在 不 同 的 领域 有 不 同 的 定义 及 侧重 点 。 本 
章 主 要 介绍 信息 安全 领域 的 风险 及 相应 风险 管理 的 内 容 。 

风险 (risk) ,在 信息 安全 领域 是 指 信息 资产 遭受 损坏 并 给 企业 囊 来 负面 影响 的 潜在 可 
能 性 。 

信息 安全 风险 管理 的 概念 因 不 同学 者 研究 角度 的 不 同 而 有 不 同 的 理解 。 如 闵 京 华 等 认 
为 “信息 安全 风险 管理 是 基于 风险 的 信息 安全 管理 ,也 就 是 始终 以 风险 为 主线 进行 信息 安全 
的 管理 ”。 

ISO 17799 一 2005 定义 信息 安全 风险 管理 为 “指导 和 控制 组 织 风险 的 协同 活动 ,包括 风 
险 评估 、 风 险 应 对 、 风 险 承受 和 风险 沟通 ”。 

NIST SP 800-30 中 定义 信息 安全 风险 管理 为 “对 信息 系统 的 风险 识别 、 风 险 评 佑 ,并 采 
取 一 定 的 措施 使 风险 减少 至 可 承受 程度 ”。 

Microsoft 安全 风险 管理 指南 定义 为 “确定 可 接受 的 风险 ,评估 风险 的 当前 程度 ,采取 措 
施 将 风险 降低 到 可 接受 水 平 ,以 及 维持 风险 程度 的 流程 ”。 

Thomas Finne 将 其 定义 为 “识别 .评估 和 控制 不 确定 性 事件 ,并 减少 损失 和 提高 安全 
投资 收益 ,包括 风险 分 析 和 风险 评估 ”。 

Mariana Gerber 将 其 定义 为 “基于 风险 分 析 结 果 的 风险 计划 、 风 险 监控 和 风险 控制 ”。 

国际 标准 化 组 织 制定 的 ISO/IEC 17799 一 2000 中 把 信息 安全 风险 管理 定义 为 “以 可 接 
受 的 费用 识别 ,控制 .降低 或 消除 安全 风险 的 过 程 ”"。 风 险 管理 基本 包含 了 通过 风险 评估 来 
识别 风险 大 小 ,通过 制定 信息 安全 策略 ,采取 适当 的 控制 目标 与 控制 方式 对 风险 进行 控制 ， 
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使 风险 被 避免 .转移 或 降 至 一 个 可 接受 的 水 平 。 在 风险 管理 方面 应 考虑 控制 费用 与 风险 之 
间 的 平衡 。 
风险 管理 流程 如 图 5-1 所 示 。 


风险 管理 开始 


风险 识别 
风险 估计 
风险 评价 


风险 管理 结束 


5-1 风险 管理 流程 图 


1. 信息 安全 风险 管理 的 意义 

在 信息 时 代 , 信 息 是 第 一 战略 资源 。 一 个 机 构 需 要 利用 其 信息 资产 来 完成 使 命 ,因此 保 
障 信 息 资 产 的 安全 至 关 重 要 。 而 资产 与 风险 是 天 生 的 一 对 予 盾 ,资产 价值 越 高 ,面临 的 风险 
就 越 大 。 信 息 资产 有 着 与 传统 资产 不 同 的 特性 ,面临 着 新 型 风险 。 信 息 安 全 风险 管理 的 目 
的 就 是 要 缓解 和 平衡 这 对 矛盾 ,将 风险 控制 在 可 接受 的 程度 ,保护 信息 及 其 相关 资产 ,最 终 
保证 机 构 能 够 完成 其 使 命 。 

信息 安全 风险 管理 贯穿 信息 系统 生命 周期 的 规划 .设计 实施. 运 维和 废弃 各 阶段 中 。 
每 个 阶段 都 存在 着 相关 风险 ,同样 需要 采用 信息 安全 风险 管理 的 方法 加 以 控制 。 

信息 安全 风险 管理 依据 等 级 保护 的 思想 和 适度 安全 的 原则 ,平衡 成 本 与 效益 ,合理 部 署 
和 利用 信息 安全 的 信任 体系 ,监控 体系 和 应 急 处 理 等 重要 的 基础 设施 ,确定 合适 的 安全 措 
施 ,以 保障 机 构 完 成 其 使 命 。 

2. 信息 安全 风险 管理 的 对 象 .角色 与 责任 

信息 安全 风险 管理 涉及 信息 安全 在 信息 、 信 息 载 体 和 信息 环境 3 个 方面 中 包含 的 所 有 
相关 对 象 。 风 险 管理 人 员 既 包括 风险 管理 的 直接 参与 人 员 ,也 包括 信息 系统 的 相关 人 员 。 
信息 安全 风险 管理 相关 人 员 的 角色 与 责任 如 表 5-1 所 示 。 


7 信息 安全 工程 


表 5-1 信息 安全 风险 管理 相关 人 员 的 角色 与 责任 
信息 系统 风险 管理 


向 
玫 


负责 信息 系统 的 重 负责 风险 管理 的 重大 
负责 信息 系统 的 规 负责 风险 管理 的 规 
管理 层 管理 者 划 、 建 设 . 运行、 维护 | 管理 者 划 , 以 及 实施 和 监控 
和 监控 等 过 程 中 的 协调 
eben acini 
运行 者 页 南 信息 系统 内 或 外 | 负责 风险 管理 的 实施 
执行 层 常 运行 和 操作 
维护 者 内 或 外 Pe ed 
维护 ， Fneeei 
监控 si 最 时 成 本 
视 和 控制 放 于 
rl 为 风险 管理 提供 专业 
支持 层 专业 者 外 业 咨 询 、 培 训 、 诊断 | 专业 者 咨询 培训、 诊断 和 工 
和 工具 等 服务 Ey 
利用 信 此 完 成 妥 闪 者 
用 户 层 | 使 用 者 ep Ee 反馈 风险 管理 的 效果 


3. 风险 管理 的 内 容 与 过 程 

风险 管理 包括 对 象 确立 \ 风险 分 析 ` 风险 控制 .审核 批准 ,监控 与 审查 .沟通 与 咨询 6 个 
方面 的 内 容 。 

风险 管理 过 程 关 系 如 图 5-2 所 示 。 对 象 确立 \ 风险 分 析 、 风 险 控 制 和 审核 批准 是 信息 
全 风险 管理 的 4 个 基本 步骤 ,监控 与 审查 和 沟通 与 咨询 则 贯穿 于 基本 步骤 中 。 


沟通 与 咨询 


沟通 与 咨询 


5-2 风险 管理 过 程 关系 
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5.1.2 生命 周期 各 阶段 的 风险 管理 


信息 安全 风险 管理 ,信息 系统 生命 周期 和 信息 安全 目标 均 为 正 交 关系 ,构成 三 维 结构 ， 
如 图 5-3 所 示 。 


沟通 与 咨询 


监控 与 审 得 


出 兢 本 妆 纱 间 鳞 芍 


信息 系统 生命 周期 


5-3 ”信息 安全 风险 管理 信息 系统 生命 周期 和 信息 安全 目标 的 三 维 结构 关系 


第 一 维 (X 轴 ) : 表示 信息 安全 风险 管理 ,包括 对 象 确立 \ 风险 评估 、 风 险 控制 和 审核 批 
准 4 个 基本 步骤 ,以 及 贯穿 这 4 个 基本 步骤 的 监控 与 审查 和 沟通 与 咨询 。 

第 二 维 (Y 轴 ) : 表示 信息 系统 生命 周期 ,包括 规划 .设计 .实施 . 运 维 和 废弃 5 个 基本 
阶段 。 

第 三 维 (Z 轴 ) : 表示 信息 安全 目标 ,包括 机 密 性 、 完 整 性 .可 用 性 .可 追究 性 和 抗 否 认 人 性 
5 个 信息 安全 基本 属性 。 

由 图 5-3 可 以 看 出 ,信息 系统 生命 周期 的 任何 一 个 阶段 ,都 需要 通过 相应 的 信息 安全 风 
险 管理 ,以 实现 安全 目标 ,并 最 终 完 成 信息 系统 等 级 化 的 保障 体系 建设 。 信 息 系 统 生 命 周 期 
各 阶段 的 特性 、 信 息 安全 目标 及 信息 系统 保障 级 别 随行 业 特 点 以 及 业务 特性 的 不 同 而 有 所 
不 同 。 

信息 系统 生命 周期 是 某 一 信息 系统 从 无 到 有 ,再 到 废弃 的 整个 过 程 ,包括 规划 设计 、 实 
施 、 运 维和 废弃 5 个 阶段 。 

1. 规划 阶段 的 信息 安全 风险 管理 

在 项 目 规划 阶段 ,风险 管理 者 应 能 清楚 ,准确 地 描述 机 构 的 安全 总 体 方针 、 安 全 策略 、 风 
险 管 理 范 围 .当前 正在 进行 的 或 计划 中 将 要 执行 的 风险 管理 活动 以 及 当前 特殊 安全 要 求 等 。 
为 了 保证 项 目 规划 阶段 风险 管理 目标 的 实现 ,需要 使 用 科学 的 风险 管理 方法 。 首 先 确定 管 
理 对 象 ,然后 通过 恰当 的 风险 分 析 方 法 来 发 现 安 全 风险 ,对 于 这 些 风 险 采 用 适当 的 控制 手段 
进行 合理 处 理 , 以 保证 其 达到 机 构 核 查 批准 的 要 求 , 使 风险 处 于 机 构 可 接受 的 范围 内 。 规 划 
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阶段 的 风险 管理 活动 如 表 5-2 所 示 。 
表 5-2 规划 阶段 的 风险 管理 活动 


序 号 风险 管理 活动 所 处 风险 管理 流程 


1 明确 安全 总 体 方针 对 象 确立 
2 安全 需求 分 析 对 象 确立 风险 分 析 
3 风险 评价 准则 达成 一 致 风险 控制 审核 批准 


由 于 上 述 风险 管理 活动 处 于 项 目的 起 始 阶段 ,所 以 应 特别 重视 沟通 与 监控 环节 。 在 项 
目的 规划 阶段 ,就 安全 目标 .管理 范围 .评价 准则 等 在 机 构 内 达成 一 致 是 项 目 顺 利 进行 和 成 
功 完 成 的 关键 。 

1) 明确 安全 总 体 方 针 

机 构 管理 安全 总 体 方针 制定 过 程 中 可 能 引入 的 安全 风险 ,应 先 对 安全 总 体 方 针 文档 的 
完整 性 、 条 理性 、 明 确 性 等 进行 审查 。 审 查 的 内 容 至 少 包 括 以 下 项 目 。 

(1) 是 否 已 经 制定 并 发 布 了 能 够 反映 机 构 安 全 管理 意图 的 信息 安全 文件 ,如 机 构 当 前 
的 业务 期 望 .安全 总 体 方针 (包括 定义 边界 关系 .识别 防御 体系 强度 .识别 各 类 主体 ) 和 安全 
策略 等 。 

(2) 风险 管理 过 程 的 执行 是 否 有 机 构 保 障 , 包 括 核 查 机 构 结 构 的 合理 性 ; 核查 职责 分 
工 的 合理 性 ,核查 监控 审查 流程 的 合理 性 等 。 

(3) 是 否 有 专人 按照 特定 的 过 程 定期 进行 复审 与 评价 ,包括 核查 机 构 当 前 的 风险 管理 
复查 流程 : 核查 复查 情况 及 调整 计划 ; 核查 能 否 确保 当 系 统 安全 状态 发 生变 化 时 及 时 进入 
复审 与 评价 的 过 程 ,以 便 及 时 地 修改 安全 策略 ,恢复 到 机 构 可 接受 的 安全 状态 等 。 

(4) 风险 管理 的 范围 是 否 明确 。 

以 上 项 目 需 根据 机 构 的 具体 情况 进行 增加 或 删 减 ,但 至 少 应 建立 符合 机 构 业 务 战 略 的 
安全 总 体 方针 ,从 而 使 机 构 安 全 风险 管理 有 助 于 业务 的 运行 。 对 于 安全 总 体 方针 的 核查 流 
程 须 得 到 相关 部 门 的 审核 批准 。 

2) 安全 需求 分 析 

机 构 可 通过 以 下 方法 来 管理 安全 需求 分 析 过 程 中 可 能 引入 的 安全 风险 : 应 对 安全 需求 
分 析 文 档 的 完整 性 、 条 理性 、 明 确 性 等 进行 审查 ; 应 采用 信息 安全 风险 分 析 方 法 ,通过 对 信 
息 系 统 进行 风险 评估 来 发 现 当 前 安全 保障 体系 中 存在 的 不 足 。 

对 于 安全 需求 分 析 文 档 的 核查 流程 须 得 到 机 构 相 关 部 门 的 审核 批准 。 

3) 风险 评价 准则 达成 一 致 

机 构 可 通过 以 下 方法 来 管理 风险 评价 准则 制定 过 程 中 可 能 引入 的 安全 风险 。 

(1) 机 构 应 对 文档 的 完整 性 、 条 理性 、 明 确 性 等 进行 审查 。 

(2) 机 构 可 通过 问卷 调查 或 专人 访谈 的 方式 核查 评价 准则 是 否 得 到 机 构 一 致 性 的 认 
可 。 核 查 项 目 包括 风险 管理 的 要 素 和 风险 评价 准则 是 否 得 到 一 致 性 认可 。 

对 于 风险 评价 准则 ,机 构 应 保证 准则 文档 的 清晰 性 和 明确 性 ,以 及 是 否 得 到 机 构 的 一 致 
性 认可 。 如 果 风 险 评价 准则 不 能 达成 一 致 ,这 将 直接 导致 无 法 对 风险 做 出 公认 的 评价 ,从 而 
导致 风险 评估 的 失败 。 
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2. 设计 阶段 的 信息 安全 风险 管理 

设计 阶段 是 依据 项 目 规划 阶段 输出 的 总 体 方案 来 设计 信息 系统 的 实现 结构 (包括 功能 
划分 、 接 口 协议 和 性 能 指标 等 ) 和 实施 方案 (包括 实现 技术 .设备 选 型 和 系统 集成 等 ) 。 在 设 
计 信 息 系 统 的 实现 结构 和 实施 方案 时 ,在 技术 的 选择 配合、 管理 等 众多 的 环节 均 容 易 引 入 
安全 风险 ,因此 对 关键 的 环节 应 提出 必要 的 安全 要 求 并 有 针对 性 地 进行 安全 风险 管理 。 

在 该 阶段 的 主要 安全 需求 包括 : 对 用 于 实现 安全 系统 的 各 类 技术 进行 有 效 性 评估 ; 对 
用 于 实施 方案 的 产品 须 满 足 安全 保护 等 级 的 要 求 ; 对 自 开 发 的 软件 要 在 设计 阶段 就 充分 考 
虑 安全 风险 。 

在 设计 阶段 ,风险 管理 者 应 能 标识 出 在 项 目 结 构 实现 过 程 中 潜在 的 安全 风险 ,为 设计 说 
明 中 的 安全 性 设计 提供 评判 依据 ,并 对 实施 方案 中 选择 的 产品 进行 合格 检查 ,确保 项 目 设计 
阶段 的 重要 环节 均 能 得 到 较 好 的 安全 风险 控制 。 

在 该 阶段 的 风险 管理 工作 过 程 中 ,主要 面临 设计 阶段 的 风险 管理 活动 (如 表 5-3 所 示 ) 。 


表 5-3 设计 阶段 的 风险 管理 活动 


序 号 风险 管理 活动 所 处 风险 管理 流程 
1 安全 技术 选择 风险 控制 
2 安全 产品 选择 风险 控制 
3 软件 设计 风险 控制 风险 控制 


对 于 上 述 风险 管理 活动 ,机构 应 该 注重 通过 足够 的 外 部 咨询 来 学 习 、 了 解 各 种 技术 和 产 
品 的 优 缺 点 ,并 在 充分 的 内 部 沟通 的 基础 上 得 出 技术 选择 说 明 .产品 选 型 说 明 以 及 软件 安全 
要 求 文档 。 

1) 安全 技术 选择 

机 构 可 通过 如 下 方法 来 管理 安全 技术 选择 过 程 中 可 能 引入 的 安全 风险 ,从 而 构建 符合 
要 求 的 安全 保障 体系 ,包括 参考 现 有 国内 外 安全 标准 .国内 外 公认 安全 事件 .行业 标准 ,专家 
委员 会 决策 。 

在 项 目 设计 阶段 , 需 充 分 考虑 所 选择 的 安全 技术 能 够 解决 问题 的 程度 , 即 技术 选择 的 有 
效 性 。 如 果 技 术 选 择 不 合理 ,将 直接 导致 相应 安全 弱点 的 骏 露 ,安全 风险 的 发 生 将 是 显 而 易 
见 的 。 

对 于 技术 选择 文档 的 核查 流程 须 得 到 机 构 相 关 部 门 的 审核 批准 。 

2) 安全 产品 选 型 

机 构 可 通过 如 下 方法 来 管理 安全 产品 选 型 过 程 中 可 能 引入 的 安全 风险 ,包括 核查 是 否 
符合 相关 安全 标准 要 求 、 是 否 通 过 相关 认证 机 构 的 认证 ,是 否 满足 当前 安全 保障 等 级 的 要 
求 ; 核查 产品 的 实用 性 ; 集中 测试 ; 专家 会 议决 策 。 

安全 产品 选 型 的 合理 程度 将 直接 影响 原 有 设计 方案 所 需要 达到 的 安全 防御 效果 ,因此 
在 项 目 设计 阶段 要 做 好 安全 产品 选 型 工作 。 

对 于 产品 选 型 文档 的 核查 流程 须 得 到 机 构 相 关 部 门 的 审核 批准 。 

3) 软件 设计 风险 控制 

机 构 可 通过 如 下 方法 来 管理 和 目 开 发 的 非 通用 软件 在 前 期 设计 过 程 中 可 能 引入 的 安全 风 
险 ,包括 清晰 描述 软件 的 安全 功能 需求 ,在 设计 规格 说 明 书 中 明确 指出 实现 的 方法 ,参考 
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GB/T 18336. 1-2015 对 设计 说 明 书 的 安全 功能 进行 核查 、 补 充 、 完 善 ,以 及 对 各 安全 功能 进 
行 详细 的 功能 测试 。 

对 于 月 主 开发 的 非 通用 软件 ,通常 由 于 各 种 原因 而 存在 众多 的 安全 风险 ,这 些 风 险 直 接 
影响 了 系统 的 正常 运行 。 另 外 ,在 软件 设计 阶段 就 考虑 好 如 何 规避 安全 风险 ,这 样 做 比 实现 
之 后 再 进行 补救 节省 大 量 的 成 本 。 因 此 ,在 设计 阶段 对 软件 进行 风险 控制 是 非常 必要 和 有 
意义 的 。 对 于 软件 设计 说 明文 档 的 核查 流程 须 得 到 相关 部 门 的 审核 批准 。 

3. 实施 阶段 的 信息 安全 风险 管理 

实施 阶段 将 按照 规划 和 设计 阶段 所 定义 的 信息 系统 实施 方案 ,采购 设备 和 软件 ,开发 定 
制 功能 ,集成 .部 署 /配置 和 测试 系统 ,并 对 是 否 允 许 系 统 投 入 运行 进行 审核 批准 。 

实施 阶段 的 安全 需求 包括 : 确保 采购 的 设备 、 软 件 和 其 他 系统 组 件 满足 已 定义 的 安全 
要 求 ; 确保 定制 开发 的 软件 和 系统 满足 已 定义 的 安全 要 求 ; 确保 整个 系统 已 按照 设计 要 求 
进行 部 署 和 配置 ,并 通过 整体 的 安全 测试 来 验证 系统 的 安全 功能 和 安全 特性 是 否 符 合 设 计 
要 求 ; 通过 对 相关 人 员 的 操作 培训 和 安全 培训 ,确保 人 员 已 具备 维持 系统 安全 功能 和 安全 
特性 的 能 力 ; 通过 对 系统 投入 运行 前 的 审核 批准 ,确保 信息 系统 的 使 用 已 得 到 授权 。 

在 实施 阶段 ,风险 管理 的 主要 目标 是 确保 上 述 安全 需求 已 得 到 实现 。 

实施 阶段 的 风险 管理 活动 主要 包括 检查 与 配置 、 安 全 测试 .人 员 培 训 及 授权 系统 运行 ， 
同时 在 上 述 过 程 中 通过 监控 与 审查 .沟通 与 咨询 来 确保 本 阶段 风险 管理 目标 的 实现 。 各 项 
活动 在 风险 管理 流程 中 所 处 的 位 置 如 表 5-4 所 示 。 

表 5-4 实施 阶段 的 风险 管理 活动 


序 号 风险 管理 活动 所 处 风险 管理 流程 


1 风险 控制 

2 风险 控制 

3 风险 控制 

1 审核 批准 

在 系统 安全 功能 和 安全 特性 .测试 计划 和 测试 过 程 方面 进行 充分 沟通 ,并 相互 配合 来 完 
成 风险 控制 的 工作 。 信 息 系 统 安全 员 还 应 监控 上 述 实施 过 程 , 如 发 现 问题 应 及 时 问 主 管 领 
导 汇 报 。 

1) 检查 与 配置 


应 对 采购 的 设备 、 软 件 、 定 制 开 发 的 软件 和 系统 进行 检查 并 正确 配置 。 检 查 与 配置 内 容 
包括 : 检查 采购 的 设备 和 软件 是 否 具 有 国家 主管 部 门 的 生产 和 销售 许可 证 ,以 及 是 否 通 过 
了 国家 有 关 部 门 的 测评 和 认证 ; 检查 采购 的 设备 、 软 件 和 系统 是 否 具 备 安全 功能 和 安全 特 
性 ; 按照 产品 说 明 书 和 设计 说 明 书 正确 配置 设备 、 软 件 和 系统 ,确保 符合 设计 要 求 。 

如 果 在 系统 实施 的 过 程 中 增加 了 新 的 安全 控制 措施 ,还 应 对 新 增加 的 措施 给 原 有 系统 
带 来 的 风险 进行 分 析 ,确保 增加 的 控制 措施 与 原 有 设计 保持 协调 一 致 。 

2) 安全 测试 

系统 安全 测试 是 对 所 开发 或 采购 的 系统 特定 部 分 的 测试 和 整个 系统 的 测试 。 测 试 内 容 
包括 : 采购 的 设备 和 软件 .定制 的 软件 和 系统 各 部 分 安全 功能 及 安全 特性 的 测试 ; 对 集成 
后 整个 系统 的 整体 安全 测试 ; 对 安全 管理 ,物理 设施 、 人 员 流程 .业务 或 内 部 服务 (如 网 络 
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服务 ) 的 使 用 ,以 及 应 急 计划 等 进行 测试 。 

如 果 在 开发 或 采购 阶段 增加 了 新 的 控制 措施 ,应 重新 进行 测试 。 安 全 测试 可 以 由 机 构 
内 部 实施 ,也 可 以 聘请 第 三 方 专业 机 构 实 施 。 

测试 之 前 应 制订 测试 计划 ,并 对 测试 过 程 和 测试 结果 进行 记录 。 

3) 人 员 培 训 

培训 的 对 象 包括 系统 使 用 人 员 、 系 统 维护 人 员 和 安全 管理 人 员 ,培训 过 程 是 沟通 与 咨询 
的 重要 体现 。 培 训 内 容 包 括 : 系统 的 操作 流程 和 操作 方法 ,安全 意识 、 基 本 安全 技术 知识 和 
安全 管理 知识 ,系统 维护 和 安全 功能 的 使 用 ,安全 管理 制度 的 管理 流程 ,系统 安全 事件 的 应 
急 处 理 流程 和 恢复 流程 。 

4) 授权 系统 运行 

信息 系统 在 投入 运行 前 应 进行 审核 批准 。 负 责 审批 的 管理 者 应 与 系统 安全 员 、 系 统管 
理 人 员 、 系 统 使 用 人 员 进 行 充分 沟通 ,必要 时 还 可 以 聘请 专家 进行 咨询 ,以 便 对 系统 是 否 可 
以 投入 运行 做 出 重要 决策 。 管 理 者 对 信息 系统 可 以 有 以 下 3 种 授权 方式 。 

(1) 授权 系统 全 面 运行 。 即 在 对 安全 测试 的 结果 进行 评估 之 后 ,如 果 系 统 的 参与 风险 
被 认为 是 完全 可 以 接受 的 ,那么 就 可 以 为 系统 发 布 一 个 全 面 运 行 的 授权 。 这 时 信息 系统 已 
被 认可 ,可 以 没有 限制 或 没有 制约 地 投入 运行 。 

(2) 临时 批准 运行 。 即 在 对 安全 测试 的 结果 进行 评估 之 后 ,如 果 系 统 的 参与 风险 被 认 
为 不 能 完全 接受 ,但 是 又 迫切 需要 将 信息 系统 投入 运行 ,或 机 构 的 使 命 需要 其 继续 运行 , 那 
么 就 会 为 信息 系统 发 布 一 个 临时 的 运行 批准 。 临 时 批准 提供 的 是 一 种 有 限制 的 授权 ,人 允许 
言 息 系统 在 特定 时 限 和 条 件 下 投入 运行 ,并 使 相关 人 员 了 解 到 机 构 的 运行 和 资产 在 限定 时 
间 内 具有 相对 更 高 的 风险 。 临 时 运行 额定 允许 时 限 应 与 信息 系统 的 风险 等 级 相关 联 , 最 长 
不 应 超过 一 年 。 在 临时 批准 运行 结束 前 ,信息 系统 应 满足 全 面 批 准 运 行 的 条 件 , 开 始 全 面 批 
准 的 运行 ,否则 应 停止 系统 运行 。 

(3) 拒绝 对 运行 进行 授权 。 即 在 对 安全 测试 的 结果 做 出 评估 之 后 ,如 果 系 统 的 残余 风 
分 被 认为 是 不 可 接受 的 ,那么 就 要 拒绝 批准 信息 系统 投入 运行 。 对 于 被 拒绝 运行 的 系统 , 信 
息 系统 所 有 者 应 与 授权 管理 者 和 其 他 相关 方 进 行 沟通 ,重新 制订 风险 控制 措施 和 改进 计划 ， 
将 信息 系统 的 安全 风险 降低 到 可 接受 的 程度 后 ,再 进行 授权 审批 。 

4. 运 维 阶段 的 信息 安全 风险 管理 


运 维 阶段 是 在 信息 系统 经 过 授权 投入 运行 之 后 ,通过 风险 管理 的 相关 过 程 和 活动 ,确保 
信息 系统 在 运行 过 程 中 以 及 信息 系统 或 其 运行 环境 发 生变 化 时 维持 系统 的 正常 运行 和 安 
全 性 。 

运 维 阶段 的 安全 需求 包括 以 下 内 容 : 在 信息 系统 未 发 生 更 改 的 情况 下 ,维持 系统 的 正 
党 运行 ,进行 日 常 的 安全 操作 及 安全 管理 ; 在 信息 系统 及 其 运行 环境 发 生变 化 的 情况 下 , 进 
行 风险 评估 并 针对 风险 制定 控制 措施 ; 定期 进行 风险 再 评估 工作 ,维持 系统 的 持续 安全 ; 
定期 进行 信息 系统 的 重新 审批 工作 ,确保 系统 授权 时 间 的 有 效 性 。 

在 运 维 阶段 ,风险 管理 的 主要 目标 是 确保 上 述 安 全 需求 得 到 实现 。 

运 维 阶段 的 风险 管理 活动 主要 包括 安全 运行 和 管理 .变更 管理 .风险 再 评估 定期 重新 
审批 ,同时 在 上 述 过 程 中 通过 监控 与 审查 .沟通 与 咨询 来 确保 本 阶段 风险 管理 目标 的 实现 。 
各 项 活动 在 风险 管理 流程 中 所 处 位 置 如 表 5-5 所 示 。 
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表 5-5 和 运 维 阶段 的 风险 管理 活动 


序 号 风险 管理 活动 所 处 风险 管理 流程 


1 风险 控制 
? 风险 评估 、 风 险 控制 
3 风险 评估 、 风 险 控制 
4 审核 批准 


安全 运行 和 管理 活动 贯穿 于 整个 运 维 阶段 ,在 系统 发 生变 化 、 运 行 环境 发 生变 化 ,以 及 
发 现 新 的 脆弱 性 的 情况 下 ,应 进行 系统 变更 管理 ,并 将 管理 要 求 反馈 到 安全 运行 与 管理 活动 
中 ; 在 变化 较 大 的 情况 下 ,应 进行 风险 再 评 佑 ,再 评 佑 活动 也 应 定期 进行 ; 系统 授权 运行 的 
重新 审批 工作 也 应 定期 进行 ,以 保证 系统 授权 时 间 的 有 效 性 。 

运 维 阶段 风险 管理 活动 流程 如 图 5-4 所 示 。 


系统 变化 
运行 环境 变化 
发 现 新 的 脆弱 性 | 较 大 


定期 | 授权 


运行 


变更 管理 风险 再 评估 
定期 重新 审批 


s-4 运 维 阶段 风险 管理 活动 流程 


1) 安全 运行 和 管理 

信息 系统 在 开始 运行 之 后 ,应 按照 控制 措施 所 定义 的 系统 操作 要 求 、 运 行 要 求 和 管理 要 
求 ,进行 安全 操作 和 安全 管理 ,保证 系统 的 安全 功能 的 实现 。 安 全 运行 和 管理 包括 执行 备 
份 .举办 培训 课程 管理 密 钥 、 更 新 用 户 管理 和 访问 特权 以 及 更 新 安全 软件 等 。 

2) 变更 管理 

在 信息 系统 及 其 与 运行 环境 发 生变 化 时 ,应 评估 其 风险 ,并 制定 和 实施 相应 的 控制 措施 
以 控制 风险 。 变 更 管理 包括 信息 系统 的 变更 和 系统 运行 环境 的 变更 : 信息 系统 的 变更 包括 
系统 升级 .增加 新 功能 、 发 现 新 的 系统 威胁 和 脆弱 性 等 ; 系统 运行 环境 的 变更 包括 系统 的 便 
环境 、 软 环境 的 变化 ,以 及 法 律 法 规 环 境 的 变化 。 

在 信息 系统 及 其 运行 环境 发 生变 化 时 ,应 执行 风险 管理 流程 中 的 风险 评估 过 程 和 风险 
控制 过 程 ,分 析 可 能 出 现 的 新 风险 ,并 制定 和 实施 控制 措施 对 风险 进行 控制 。 

变更 管理 主要 用 于 信息 系统 及 其 运行 环境 变化 不 大 的 情况 ,变更 管理 无 须 对 系统 运行 
进行 重新 授权 。 
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3) 风险 再 评估 

风险 再 评估 是 重新 对 系统 进行 风险 评估 的 过 程 。 应 定期 进行 系统 的 风险 再 评估 ,在 信 
息 系 统 及 其 运行 环境 发 生 重大 变化 时 ,也 应 适时 进行 风险 再 评估 。 定 期 风险 评估 的 周期 一 
般 应 为 一 年 ,最 长 不 应 超过 两 年 。 

风险 再 评估 后 应 执行 风险 控制 过 程 ,针对 风险 制定 和 实施 控制 措施 。 

4) 定期 重新 审批 

定期 重新 审批 是 重新 执行 信息 系统 审核 批准 的 过 程 。 信 息 系 统 在 运行 一 段 时 间 之 后 ， 
系统 及 其 运行 环境 、 风 险 环 境 都 会 发 生变 化 ,应 重新 确认 系统 风险 是 否 仍 在 可 接受 的 范 
围 内 。 

信息 系统 授权 的 重新 审批 应 以 风险 再 评估 的 结果 为 依据 ,根据 系统 风险 再 评估 后 的 风 
仿 状 况 和 残余 风险 ,重新 审批 信息 系统 是 否 可 以 继续 运行 。 

5. 废弃 阶段 的 信息 安全 风险 管理 

废弃 阶段 是 对 信息 系统 的 过 时 或 无 用 部 分 进行 报废 处 理 的 过 程 。 在 废弃 阶段 ,风险 管 
理 的 目标 是 确保 信息 、 人 硬件 、 软 件 在 执行 废弃 的 过 程 中 的 安全 废弃 ,防止 信息 系统 的 安全 目 
标 遭 到 破坏 。 

在 这 一 阶段 主要 的 风险 管理 活动 是 对 系统 报废 的 风险 评估 和 风险 控制 。 

系统 废弃 阶段 涉及 信息 、 硬 件 和 软件 的 安全 处 置 , 应 防止 敏感 信息 被 泄露 给 外 部 人 员 。 
系统 废弃 的 风险 管理 活动 包括 : 确定 废弃 对 象 , 对 废弃 对 象 的 风险 分 析 , 对 废弃 对 象 及 废弃 
过 程 的 风险 控制 。 同 时 在 上 述 过 程 中 通过 监控 与 审查 .沟通 与 咨询 来 确保 本 阶段 风险 管理 
标的 实现 。 各 项 活动 在 风险 管理 流程 中 所 处 位 置 如 表 5-6 所 示 。 

表 5-6 废弃 阶段 的 风险 管理 活动 


序 号 风险 管理 活动 所 处 风险 管理 流程 


I 对 象 建立 

2 风险 分 析 

3 风险 控制 

1 审核 批准 

1) 确定 废弃 对 象 

信息 系统 在 经 过 一 段 时 间 的 运行 及 使 用 之 后 ,系统 的 部 分 或 全 部 可 能 不 再 需要 。 这 时 


要 对 需要 废弃 的 部 分 进行 分 析 ,确定 系统 的 哪些 部 分 需要 废弃 。 废 弃 对 象 的 考虑 犯 围 包 括 
被 废弃 的 信息 、 人 硬件、 软件 或 整个 系统 。 应 建立 废弃 对 象 的 清单 ,并 进行 标识 。 

2) 废 痉 对 和 象 的 风险 分 析 

废弃 系统 的 风险 分 析 主 要 应 考虑 被 废弃 的 信息 、 硬 件 和 软件 的 安全 要 求 ,分 析 废 弃 对 原 
有 系统 造成 的 威胁 和 脆弱 性 ,评估 不 安全 废弃 可 能 市 来 的 影响 和 可 能 性 。 

3) 废弃 过 程 的 风险 控制 

废弃 过 程 的 风险 控制 应 考虑 建立 废弃 系统 的 安全 处 置 程序 ,可 考虑 以 下 控制 措施 : 对 
载 有 敏感 信息 的 介质 应 加 以 安全 、 受 当 的 保存 或 采用 安全 的 方式 加 以 处 置 ,如 焚烧 或 碎片 ， 
或 在 清空 数据 后 供 本 机 构 内 的 其 他 方面 使 用 ; 把 所 有 的 媒体 收集 起 来 并 进行 安全 的 处 置 ， 
比试 图 分 离 出 敏感 的 物品 可 能 更 加 容易 ; 许多 机 构 对 文件 .设备 和 妹 体 提供 收集 和 处 置 的 
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服务 。 应 注意 选择 一 个 具有 足够 的 控制 措施 和 有 经 验 的 承包 商 ; 右 可 能 ,对 敏感 物品 的 处 
置 应 进行 记录 。 

在 等 候 集中 处 理 时 ,应 当 考 虑 聚集 效应 , 即 大 量 未 分 类 信息 堆积 在 一 起 可 能 比 少量 已 分 
类 的 信息 更 敏感 。 

4) 废弃 后 的 评审 

在 执行 完 废 弃 过 程 后 应 对 系统 废弃 后 的 残余 风险 进行 评审 ,以 确保 参与 风险 是 在 用 户 
可 接受 的 范围 内 。 评 审 的 内 容 包 括 确认 废弃 后 系统 中 的 敏感 信息 已 被 有 效 清 除 ,系统 废弃 
的 安全 要 求 已 得 到 满足 。 


5.2 信息 安全 风险 评估 


5.2.1 风险 评估 概述 

1. 风险 评估 的 基本 概念 及 作用 

信息 安全 风险 评估 指 的 是 依据 有 关 信 息 安 全 技术 与 管理 标准 ,对 信息 系统 及 由 其 处 理 、 
传输 和 存储 的 信息 的 保密 性 .完整 性 和 可 用 性 等 安全 属性 进行 评价 的 过 程 。 它 要 评估 资产 
面临 的 威胁 以 及 威胁 利用 脆弱 性 导致 安全 事件 的 可 能 性 ,并 结合 安全 事件 所 涉及 的 资产 价 
值 来 判断 安全 事件 一 旦 发 生 对 组 织造 成 的 影响 。 

风险 评估 的 主要 任务 包括 : 识别 组 织 面 临 的 各 种 风险 ,评估 风险 概率 和 可 能 之 来 的 负 
面 影响 ,确定 组 织 承 受 风险 的 能 力 ,确定 风险 消减 和 控制 的 优先 等 级 ,推荐 风险 消减 对 策 。 

风险 评估 的 操作 范围 可 以 是 整个 组 织 ,也 可 以 是 组 织 中 的 某 一 部 门 ,或 者 独立 的 信息 系 
统 、 特 定 系 统 组 件 和 服务 。 影 响 风 险 评估 进展 的 因素 包括 评估 时 间 力度 .展开 幅度 和 深度 ， 
它们 都 应 与 组 织 的 环境 和 安全 要 求 相 符合 。 组 织 应 该 针对 不 同 的 情况 来 选择 恰当 的 风险 评 
估 途 径 。 按 照 信息 系统 风险 评估 的 范围 及 对 象 ,实际 工作 中 信息 系统 风险 评估 可 以 包括 综 
合 评估 .详细 评估 和 态势 评估 等 。 

通过 信息 安全 风险 评估 ,能够 清晰 地 了 解 当 前 所 面临 的 安全 风险 与 信息 系统 的 安全 现 
状 ; 明确 地 看 到 当前 安全 现状 与 安全 目标 之 间 的 差距 ; 为 下 一 步 控 制 和 降低 安全 风险 、 改 
善 安全 状况 提供 客观 和 翔实 的 依据 。 

信息 安全 风险 评估 的 工作 形式 一 般 包 括 自 评估 和 检查 评估 两 种 形式 。 其 中 , 自 评 估 适 
用 于 对 有 自身 信息 系统 进行 安全 风险 的 识别 ,评价 。 自 评估 可 以 委托 风险 评估 服务 技术 文 持 
方 实施 ,也 可 以 自行 实施 。 检 查 评估 一 般 由 主管 机 关 发 起 ,通常 都 是 定期 的 .抽样 进行 的 评 
估 模 式 , 旨 在 检查 关键 领域 或 关键 点 的 信息 安全 风险 是 否 在 可 接受 的 范围 内 。 风 险 评估 应 
以 自 评 估 为 主 ,检查 评估 在 自 评估 过 程 记 录 与 评估 结果 的 基础 上 ,验证 和 确认 系统 存在 的 技 
术 管理 和 运行 风险 ,以 及 用 户 实施 自 评估 后 采取 风险 控制 措施 所 取得 的 效果 。 

2. 信息 系统 安全 风险 评估 模型 

信息 系统 的 安全 风险 可 分 解 成 资产 的 影 啊 威胁 的 频 度 和 脆弱 性 的 严重 程度 三 要 素 ,其 
模型 如 图 5-5 所 示 。 
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安全 风险 评估 


评估 资产 评估 威胁 评估 脆弱 性 


资产 的 影 啊 威胁 的 频 度 脆弱 性 的 严重 程度 


op 3 ee 个 人 | | 技术 |[ 组 织 | | 技术 
了 性 | | 守 作 | | mt 作 || 2 | | 并 有 


5-5 信息 系统 安全 风险 评估 模型 


5.2.2 风险 评估 策略 

1. 风险 评估 原则 

风险 评估 一 般 应 遵循 以 下 几 个 原则 。 

1) 标准 性 原则 

风险 评估 方案 的 设计 应 遵循 国家 政策 法 规 、 技 术 规 范 与 管理 要 求 \ 行 业 标 准 和 国际 标 
准 。 风 险 评 估 的 具体 实施 流程 应 该 由 专业 的 风险 评估 人 员 依 据 评 估 与 被 评估 方 共同 设计 的 
标准 流程 进行 。 

2) 可 控 性 原则 

可 控 性 包括 人 员 可 控 性 、 工 具 可 控 性 和 项 目 可 控 性 。 所 有 参与 风险 评估 工作 的 人 员 均 
应 进行 严格 的 资格 审查 和 备案 ,明确 其 职责 ,需要 进行 人 员 调 整 或 者 工作 岗位 变更 时 ,必须 
执行 严格 的 审批 手续 。 

3) 完整 性 原则 

严格 按照 委托 单位 的 评估 要 求 和 指定 的 范围 进行 全 面 的 评估 服务 ,避免 由 于 遗漏 造成 
的 不 全 面 风险 评估 。 

4) 最 小 影响 原则 

风险 评估 工作 可 能 会 导致 信息 系统 的 性 能 明显 下 降 、 网 络 阻塞 .服务 中 断 等 ,还 可 能 会 
影响 业务 的 正常 运行 ,因此 ,在 风险 评估 过 程 中 ,应 该 从 项 目 管理 屋 和 工具 技术 层 出 发 ,将 风 
险 评 估 对 信息 系统 正常 运行 造成 的 影响 降 到 最 小 。 

5) 保密 原则 

风险 评估 双方 签署 保密 协议 和 非 侵害 协议 ,评估 过 程 中 所 获知 的 被 评估 系统 的 任何 信 
息 均 属 秘密 信息 ,不 得 泄露 给 第 三 方 单位 或 个 人 ,不 得 利用 这 些 信息 进行 任何 被 评估 组 织 的 
网 络 和 信息 系统 的 行为 。 

2. 风险 评估 的 基本 特点 

风险 评估 具有 以 下 基本 特点 。 

1) 决策 文 持 性 

所 有 的 安全 风险 评估 都 旨 在 为 安全 管理 提供 文 持 和 服务 ,无论 它 发 生 在 系统 生命 周期 
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的 哪个 阶段 ,所 不 同 的 只 在 于 其 文 持 的 管理 决策 阶段 和 内 容 。 

2) 比较 分 析 性 

对 信息 安全 管理 和 运营 的 各 种 安全 方案 进行 比较 ,对 各 种 情况 下 的 技术 .经济 投 入 和 结 
果 进 行 分 析 、 权 衡 。 

3) 前 提 假 设 性 

在 风险 评估 中 所 使 用 的 各 种 评估 数据 有 两 种 : 一 种 是 系统 既定 事实 的 描述 数据 ; 男 一 
种 是 根据 系统 的 各 种 假设 前 提 条 件 确定 的 预测 数据 。 不 管 发 生 在 系统 生命 周期 的 哪个 阶 
段 , 在 评估 时 ,人 们 都 必须 对 尚未 确定 的 各 种 情况 做 出 必要 的 假设 ,然后 确定 相应 的 预测 数 
据 ,并 据 此 做 出 系统 风险 评估 。 没 有 哪个 风险 评估 不 需要 给 定 假设 前 提 条 件 , 因 此 信息 安全 
风险 评估 具有 前 提 假 设 性 这 一 基本 特性 。 

4) 时 效 性 

必须 及 时 使 用 信息 安全 风险 评估 的 结果 ,加 强 信息 安全 管理 ,增强 信息 安全 有 效 防 护 。 

5) 主观 与 客观 集成 性 

信息 安全 风险 评估 是 主观 假设 和 判断 与 客观 情况 和 数据 的 结合 。 

6) 目的 性 

信息 安全 风险 评估 的 最 终 目的 是 为 信息 安全 管理 决策 和 控制 措施 的 实施 提供 文 持 。 

信息 安全 风险 评估 的 这 些 基 本 特点 将 在 很 大 程度 上 影响 风险 评估 的 操作 方式 和 操作 
结果 。 


5.2.3 风险 评估 方法 


在 进行 信息 安全 风险 评估 之 前 ,收集 必要 的 信息 数据 可 以 掌握 信息 的 安全 现状 ,同时 也 
是 后 续 工 作 的 前 提 条 件 。 根 据 信息 的 获取 手段 和 方式 可 以 分 为 以 下 5 种 。 

(1) 直接 获取 。 

(2) 设计 不 同 的 调查 问卷 。 例 如 ,对 组 织 的 信息 安全 管理 人 员 设 计 组 织 的 管理 类 控制 
调查 表 ; 对 系统 管理 员 设 计 本 系统 的 运行 类 控制 调查 表 ; 对 资产 的 具体 负责 人 设计 资产 的 
运行 情况 调查 表 。 

(3) 现场 面谈 与 参观 。 

(4) 文档 检查 。 策 略 文档 .系统 文档 .安全 相关 的 文档 可 以 提供 关于 等 评估 系统 已 经 使 
用 或 计划 使 用 的 安全 控制 方面 的 有 用 信息 。 

(5) 使 用 自动 扫描 工具 。 一 些 主动 的 技术 方法 可 以 被 用 作 有 效 的 收集 系统 信息 ,如 可 
以 检查 系统 存在 的 漏洞 .口令 强度 .访问 权限 控制 .用户 账号 限制 数据 完整 性 和 机 密 强 度 等 
安全 信息 。 

1. 定量 评估 方法 

定量 评估 方法 是 指 运 用 数量 指标 对 风险 进行 评估 。 采 用 量化 的 数值 描述 后 果 和 可 能 
性 。 和 定量 评估 方法 以 获取 到 或 采取 一 定 方法 量化 后 得 到 的 被 调查 对 象 的 定量 数据 为 基本 材 
料 ,依据 一 定 的 算法 进行 分 析 、 计 算 .综合 ,然后 得 出 结果 数据 。 

定量 评估 方法 一 般 适用 于 确立 威胁 发 生 概 率 、 预 测 系统 风险 发 生 概 率 确立 系 统 总 体 风 
险 评 价 等 。 例 如 ,对 运行 在 某 个 平台 上 的 不 同 主机 、 应 用 系统 分 别 进行 等 价 化 的 赋值 ,综合 
分 析 每 个 资产 的 威胁 、 脆 弱 性 ,得 到 各 资产 的 风险 量化 值 。 典 型 定量 风险 评估 方法 有 因子 分 
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析 法 、 聚 类 分 析 法 .时 序 模 型 .回归 模型 风险 图 法 和 决策 树 法 等 。 

定量 评估 方法 的 优点 是 用 直观 的 数据 来 表述 评估 的 结果 ,看 起 来 一 目 了 然 ,而 且 比 较 客 
观 。 和 定量 评估 方法 的 采用 ,可 以 使 研究 结果 更 科学 更 严密 、 更 深刻 。 

定量 评估 是 定性 评估 的 基础 和 前 提 , 定 性 评估 应 该 建立 在 定量 评估 基础 之 上 。 

2. 定性 评估 方法 

定性 评估 方法 主要 依据 研究 者 的 知识 ,经验 、 历 史 教 训 、 政 策 走 向 等 非 量 化 资料 对 系统 
风险 状况 做 出 判断 的 过 程 。 采 用 文字 形式 或 叙述 性 数值 范围 描述 风险 的 影响 程度 和 可 能 性 
的 大 小 ,如 高 .中 、 低 等 。 定 性 评估 方法 一 般 适用 于 风险 识别 、 造 成 风险 的 原因 分 析 、 威 胁 发 
生 所 造成 的 影响 分 析 等 。 例 如 针对 操作 系统 .采用 扫描 工具 、 发 现 其 漏洞 并 指明 漏洞 的 严重 
程度 。 

定性 评估 方法 有 过 程 危 害 分 析 、 检 查 表 分 析 、 失 误 模 式 与 影响 分 析 故障 树 分 析 、 和 危害 
与 可 操作 性 分 析 。 

定性 评估 方法 避免 了 定量 方法 的 缺点 ,可 以 挖掘 出 一 些 列 藏 很 深 的 思想 ,使 评估 的 结论 
更 全 面 、 更 深刻 ; 但 它 的 主观 性 很 强 , 对 评估 者 本 身 的 要 求 很 高 。 

定性 分 析 是 灵魂 ,是 形成 概念 、 观 点 ,做 出 判断 ,得 出 结论 所 必须 依靠 的 。 

3. 定性 与 定量 相 结合 的 综合 评估 方法 

系统 风险 评估 是 一 个 复杂 的 过 程 ,需要 考虑 的 因素 很 多 ,有 些 评估 要 素 可 以 用 量化 的 形 
式 来 表达 ,而 对 有 些 要 素 的 量化 又 是 很 困难 甚至 是 不 可 能 的 ,所 以 不 主张 在 风险 评估 过 程 中 
一 味 地 追求 量化 ,也 不 认为 一 切 都 是 量化 的 风险 评估 过 程 是 科学 .准确 的 。 定 量 分 析 是 定性 
分 析 的 基础 和 前 提 , 定 性 分 析 应 建立 在 定量 分 析 的 基础 上 才能 揭示 客观 事物 的 内 在 规律 。 
在 复杂 的 信息 系统 风险 评估 过 程 中 ,不 能 将 定性 分 析 和 和 定量 分 析 两 种 方法 简单 地 割裂 开 来 ， 
而 是 应 该 将 这 两 种 方法 融合 起 来 ,采用 综合 的 评估 方法 。 

定量 评估 方法 和 和 定性 评估 方法 的 优 缺 点 对 比如 表 5-7 所 示 。 


表 5-7 定量 评估 方法 和 定性 评估 方法 的 优 缺 点 对 比 


分 析 
方法 


i 结 立 立 9 日 
gic 计算 方式 简单 ,易于 理解 和 执行 


a TT 
和 报 和 形式 碎 有 间作 
友基 的 全 所 

没有 一 种 标准 化 的 知识 库 ,依赖 于 提供 工具 或 | 本 质 上 是 主观 的 ,结果 高 度 依赖 于 评估 者 的 经 
rg dtl 

缺点 | 信息 量 大 ,计算 量 大 ,方法 复杂 对 关键 资产 财务 价值 评估 参考 性 较 低 


并 不 能 为 安全 措施 的 成 本 效益 分 析 提 供 客观 
依据 


定量 评估 方法 定性 评估 方法 


投入 大 ,费时 费力 


在 复杂 的 信息 系统 风险 评估 中 ,不 能 将 定性 分 析 与 定量 分 析 简 单 地 分 割 开 来 。 评 估 过 
程 中 对 于 结构 化 很 强 的 问题 ,采用 定量 评估 方法 ; 对 于 非 结 构 化 的 问题 ,采用 定性 评估 方 
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法 ,对 于 兼 有 结构 化 特点 和 非 结 构 化 特点 的 问题 ,采用 定性 与 定量 相 结合 的 评估 方法 。3 种 
综合 风险 评估 方法 的 比较 如 表 5-8 所 示 。 


表 5-8 3 种 综合 风险 评估 方法 的 比较 


以 定性 评估 和 定量 计算 相 结 
合 ,将 系统 逐步 分 解 转化 为 初 


识别 风险 及 原因 ,给 出 导致 风 


始 事 件 ,进行 分 析 确 定 系 统 失 stati 
效 的 事件 组 合 及 失效 概率 


_ 能 够 与 时 间 紧 密 结合 ,确定 系 | 识 别 风险 及 原因 ,给 出 导致 的 
概率 而 且 具 备 动态 性 
对 系统 进行 分 层次 、 拟 定量、| 对 决策 分 析 问题 的 解决 提供 了 | 需要 求解 判断 矩阵 的 最 大 

层次 分 析 法 “| 规范 化 处 理 ,为 决策 者 提供 定 | 好 方法 ,可 以 评估 最 底层 各 个 | 特征 根 及 其 对 应 的 特征 
量 形式 的 决策 依据 元 素 在 总 目标 中 的 风险 程度 “| 向 量 

5.2.4 风险 评估 实施 流程 


风险 评 佑 实施 流程 包括 评 佑 准备 ,对 资产 威胁、 脆弱 性 的 识别 ,对 已 采取 的 安全 措施 的 
确认 以 及 风险 识别 等 环节 。 风 险 评 佑 实施 流程 图 如 图 5-6 所 示 。 


要 求 数据 收集 的 准确 性 和 


概率 风险 评估 全 面 性 


评估 准备 准备 阶段 


威胁 评估 胞 允 性 安全 措施 
评估 确认 


识别 阶段 


风险 确定 


分 析 阶 段 
风险 控制 


5-6 ”风险 评估 实施 流程 


1. 风险 评估 的 准备 

风险 评估 的 准备 是 整个 风险 评估 过 程 有 效 性 的 保证 。 组 织 实施 风险 评估 是 一 种 战略 性 
的 考虑 ,其 结果 将 受到 组 织 业 务 战略 .业务 流程 .安全 需求 .系统 规模 和 结构 等 方面 的 影响 。 
因此 ,在 风险 评估 实施 前 ,应 该 做 如 下 风险 评估 的 准备 。 

(1) 确定 风险 评 佑 的 目标 。 风 险 评 佑 的 准备 阶段 应 明确 风险 评估 的 目标 ,为 风险 评 佑 
的 过 程 提 供 导 向 。 风 险 评 估 的 目标 是 满足 组 织 业 务 持 续 发 展 在 安全 方面 的 需求 ,或 符合 相 
关 方 的 要 求 , 或 遵守 法 律 法 规 的 规定 等 。 

(2) 确定 风险 评估 的 范围 。 基 于 风险 评估 目标 确定 风险 评估 范围 是 完成 风险 评估 的 前 提 。 
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(3) 组 建 适 当 的 评估 管理 与 实施 团队 ,以 支持 整个 过 程 的 推进 。 

(4) 选择 与 组 织 相 适应 的 具体 的 风险 判断 方法 。 应 考虑 评估 的 目的 、 范 围 \. 时 间 、 效 果 、 
人 员 素 质 等 因素 来 选择 具体 的 风险 判断 方法 ,使 之 能 够 与 组 织 环境 和 安全 要 求 相 适应 。 

(5) 获得 最 高 管理 者 对 风险 评估 工作 的 支持 。 

风险 评估 准备 阶段 对 输出 文档 的 要 求 如 表 5-9 所 示 。 


表 5-9 风险 评估 准备 阶段 对 输出 文档 的 要 求 


阶 有 自 输出 文档 文档 内 容 


风险 评估 的 目的 .意义 .范围 .目标 .组织 结构 、 经 
《风险 评估 计划 书 》 
风险 评估 费 预算 和 进度 安排 等 


准备 《风险 评估 程序 》 风险 评估 的 工作 流程 .输入 数据 和 输出 结果 等 


《和 人 入选 风险 评估 方法 和 工具 列表 》 | 合适 的 风险 评估 方法 和 工具 类 别 


2. 资产 识别 和 威胁 识别 

1) 资产 识别 

(1) 资产 定义 。 资 产 是 被 机 构 直 接 赋予 了 价值 因而 需要 保护 的 东西 。 资 产 可 能 以 多 种 
形式 存在 ,如 无 形 的 与 有 形 的 ,硬件 与 软件 ,文档 与 代码 等 。 

(2) 资产 分 类 。 资 产 有 多 种 表现 形式 ,同样 的 两 个 资产 也 因 属 于 不 同 的 信息 系统 而 重 
要 性 有 所 不 同 。 首 先 需要 将 信息 系统 及 相关 的 资产 进行 恰当 的 分 类 ,以 此 为 基础 进行 下 一 
步 的 风险 评估 。 在 实际 工作 中 ,具体 的 资产 分 类 方法 可 以 根据 具体 的 评估 对 象 和 要 求 , 由 评 
估 者 灵活 把 握 。 

根据 资产 的 表现 形式 ,资产 分 为 数据 、 软 件 、 人 硬件、 文档 、 服 务 、 人 员 等 类 型 。 

(3) 资产 赋值 。 根 据 资产 的 重要 程度 可 以 进行 等 级 化 处 理 , 不 同 的 等 级 分 别 代 表 资 产 
重要 程度 的 高 低 。 等 级 数值 越 大 ,重要 程度 越 高 。 

在 对 信息 系统 进行 安全 风险 评估 中 ,对 资产 的 赋值 不 仅 要 考虑 资产 的 经 济 价值 ,更 要 考 
虑 资产 的 安全 状况 , 即 资产 的 机 密 性 .完整 性 及 可 用 性 对 组 织 信息 安全 性 的 影响 程度 。 资 产 
重要 度 赋 值 表 如 表 5-10 所 示 。 

表 5-10 ”资产 重要 度 赋值 表 


。 资产 的 重要 程度 很 高 ,其 安全 属性 被 破坏 后 可 能 导致 系统 受到 非常 
严重 的 影响 

资产 的 重要 程度 较 高 ,其 安全 属性 被 破坏 后 可 能 导致 系统 受到 比较 
严重 的 影响 

。 资产 的 重要 程度 较 高 ,其 安全 属性 被 破坏 后 可 能 导致 系统 受到 中 等 
程度 的 影响 

， | 资产 的 重要 程度 较 低 , 其 安全 属性 被 破坏 后 可 能 导致 系统 受到 较 低 
程度 的 影响 

. 资产 的 重要 程度 很 低 ,其 安全 属性 被 破坏 后 可 能 导致 系统 受到 很 低 

(可 忽略 ) 程度 的 影响 ,甚至 忽略 不 计 
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2) 威胁 的 频 度 

(1) 威胁 定义 。 威 胁 是 一 种 对 组 织 及 其 资产 构成 潜在 破坏 的 可 能 性 因素 ,是 客观 存在 
的 。 一 项 资产 可 能 面临 者 多 个 威胁 ,同样 一 个 威胁 可 能 对 不 同 的 资产 造成 影响 。 

(2) 威胁 分 类 。 产 生 安 全 威胁 的 主要 因素 可 以 分 为 人 为 因素 和 环境 因素 。 人 为 因素 又 
可 以 分 为 有 意 和 无 意 两 种 ; 环境 因素 包含 自然 界 的 不 可 抗 的 因素 和 其 他 物理 因素 。 

对 威胁 进行 分 类 的 方式 多 种 多 样 ,根据 造成 威胁 的 原因 可 以 把 威胁 分 为 软 人 硬件 故障 、 物 
理 环境 威胁 、 操 作 失 误 、 管 理 不 到 位 、 恶 意 代码 和 病毒 、 越 权 或 滥用 、 网 络 攻 击 、 泄 密 、 算 改 、 抵 
赖 等 。 

(3) 威胁 赋值 。 判 断 威胁 出 现 的 频率 是 威胁 识别 的 重要 工作 ,评估 者 应 根据 经 验 和 有 
关 的 统计 数据 来 进行 判断 。 

可 以 对 威胁 出 现 的 频率 进行 等 级 化 处 理 , 不 同等 级 分 别 代表 威胁 出 现 频率 的 高 低 ,等 级 
数值 越 大 ,威胁 出 现 的 频率 越 高 。 

威胁 频率 赋值 表 如 表 5-11 所 示 。 


表 5-11 威胁 频率 赋值 表 


赋 值 标 识 定 义 
出 现 的 频率 很 高 (或 大 于 1 次 / 周 ) ,或 在 大 多 数 情 况 下 几乎 不 可 如 


， ne 免 ,或 可 以 证 实 经 常 发 生 过 
， 出 现 的 频率 较 高 (或 次 /月 ) ,或 在 大 多 数 情 况 下 很 有 可 能 会 发 生 ,或 
可 以 证 实 多 次 发 生 过 
， 出 现 的 频率 中 等 (或 大 于 1 次 /半年 ) ,或 在 某 种 情况 下 可 能 会 发 生 或 
被 证 实 曾经 发 生 过 
2 低 | 出 现 的 频率 较 小 ,或 一 般 不 太 可 能 发 生 ,或 没有 被 证 实 发 生 过 
威胁 几乎 不 可 能 发 生 , 仅 可 能 在 非常 罕见 和 特殊 的 情况 下 发 生 


3. 脆弱 性 识别 

1) 脆弱 性 定义 

脆弱 性 (vulnerability) : 可 能 会 被 一 个 或 者 多 个 威胁 所 利用 的 资产 或 一 组 资产 的 弱点 
(weakness)。 弱 点 是 资产 本 身 存 在 的 , 它 可 以 被 威胁 利用 ,引起 资产 的 损害 。 弱 点 包括 物 
理 环境 机构、 过 程 人员、 管理、 配置 硬件、 软件 和 信息 等 各 种 资产 的 脆弱 性 。 

从 定义 可 以 看 出 ,首先 ,脆弱 性 是 “资产 或 者 一 组 资产 ?的 弱点 。 弦 点 都 是 相对 而 言 的 。 
其 次 “可 能 会 被 一 个 或 者 多 个 威胁 所 利用 ?的 弱点 才能 称 为 脆 罚 性 。 也 就 是 说 ,之 所 以 能 成 
为 脆弱 性 ,是 因为 这 个 弱点 可 能 会 被 外 界 威胁 利用 而 造成 实际 的 影 啊 ,如 果 这 个 罚 点 找 不 到 
可 以 利用 它 的 威胁 ,那么 ,这 仅仅 是 弱点 ,而 不 是 脆弱 性 。 

弱点 虽然 是 资产 本 有 身 固 有 的 ,但 它 本 身 不 会 造成 损失 , 它 只 是 一 种 可 能 被 威胁 利用 而 造 
成 损失 的 条 件 或 环境 。 所 以 ,如 果 没 有 相应 的 威胁 发 生 ,单纯 的 弱点 并 不 会 对 资产 造成 损 
害 。 那 些 暂时 没有 安全 威胁 的 弱点 可 以 不 需要 实施 安全 保护 措施 ,但 必须 被 记录 下 来 ,以 确 
保 当 环境 、 条 件 有 所 变化 时 能 随 之 加 以 控制 。 需 要 强调 的 是 ,不 正确 的 、 起 不 到 应 有 作用 的 
或 没有 正确 实施 的 安全 保护 措施 本 号 就 可 能 是 一 个 安全 溥 弦 环节 。 

脆弱 性 识别 所 采用 的 方法 主要 有 问卷 调查 \、 人 员 问 询 、 工具 扫 描 、 手 动 检 查 .文档 审查 、 
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渗透 测试 等 。 脆 弱 性 识别 将 针对 每 一 项 需要 保护 的 信息 资产 , 找 出 每 一 种 威胁 所 能 利用 的 
脆弱 性 ,并 对 脆弱 性 的 严重 程度 进行 评估 , 即 对 脆弱 性 被 威胁 利用 的 可 能 性 进行 评估 ,最 终 
为 其 赋予 相应 等 级 值 。 在 进行 脆弱 性 评估 识别 时 ,提供 的 数据 应 该 来 自 于 这 些 资产 的 所 有 
者 或 使 用 者 ,识别 工作 则 应 由 来 和 目 于 相关 业务 领域 的 专家 参与 进行 。 

2) 脆弱 性 分 类 

脆弱 性 可 以 从 技术 和 管理 两 个 方面 进行 分 类 。 技 术 脆 弱 性 涉及 物理 层 、 网 络 层 、 系 统 
层 、 应 用 层 、 管 理 层 等 各 个 层面 的 安全 问题 。 管 理 脆弱 性 又 可 分 为 技术 管理 和 组 织 管理 两 个 
方面 。 

脆弱 性 一 般 可 以 分 为 两 大 类 , 即 资产 本 身 的 脆弱 性 和 安全 控制 措施 的 不 足 。 前 者 一 般 
指 操作 系统 漏洞 .产品 设计 时 安全 方面 的 先天 性 不 足 等 ,这 些 是 当前 流行 的 漏洞 扫描 工具 的 
强项 ,也 是 风险 评估 人 员 高 度 关注 的 问题 。 但 是 ,一 组 资产 所 面临 的 问题 ,不 能 简单 地 累加 。 
由 于 产品 集成 ,引进 了 很 多 新 的 安全 问题 ,例如 对 某 些 系统 安全 控制 措施 的 不 足 。 在 目前 注 
重组 织 整体 业务 的 风险 评估 情况 下 ,更 不 应 该 仅仅 关注 资产 自身 的 脆弱 性 问题 。 

3) 脆弱 性 赋值 

可 以 根据 资产 损害 程度 .技术 实现 的 难 易 程度 .弱点 流行 程度 ,采用 登记 方式 对 已 识别 
的 脆弱 性 的 严重 程度 进行 赋值 。 脆 弱 性 严重 程度 的 等 级 划分 为 5 级 ,分 别 代表 资产 脆弱 性 
严重 程度 的 高 低 ,等 级 数值 越 大 ,脆弱 性 严重 程度 越 高 。 脆 弱 性 严重 程度 赋值 表 如 表 5-12 
所 示 。 


表 5-12 脆弱 性 严重 程度 赋值 表 


等 级 标 识 定义 
5 如 果 被 威胁 利用 ,将 对 资产 造成 完全 损害 
4 如 果 被 威胁 利用 ,将 对 资产 造成 重大 损害 
3 如 果 被 威胁 利用 ,将 对 资产 造成 一 般 损害 
2 ”人 | 如 果 被 威胁 利用 ,将 对 资产 造成 较 小 损害 
1 如 果 被 威胁 利用 ,将 对 资产 造成 的 损害 可 以 忽略 


4. 已 有 安全 措施 的 确认 

组 织 应 对 已 有 安全 措施 的 有 效 性 进行 确认 ,对 有 效 的 安全 措施 继续 保持 ,以 避免 不 必要 
的 工作 和 费用 ,防止 安全 措施 的 重复 实施 。 

安全 措施 可 以 分 为 预防 性 安全 措施 和 保护 性 安全 措施 两 种 。 预 防 性 安全 措施 可 以 降低 
威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 ,如 入 侵 检 测 系 统 ; 保护 性 安全 措施 可 以 减少 
因 安 全 事件 发 生 对 信息 系统 造成 的 影响 ,如 业务 持续 性 计划 。 

已 有 安全 措施 的 确认 与 脆弱 性 识别 存在 一 定 联系 。 一 般 来 说 ,安全 措施 的 使 用 将 减少 
脆弱 性 ,但 安全 措施 的 确认 并 不 需要 像 脆 弱 性 识别 过 程 那样 具体 到 每 个 资产 、 组 件 的 弱点 ， 
而 是 一 类 具体 措施 的 集合 。 比 较 明显 的 例子 是 防火 墙 的 访问 控制 策略 ,不 必要 描述 具体 的 
端口 控制 策略 .用户 控制 策略 ,而 只 需要 表明 采用 的 访问 控制 措施 。 

5. 风险 确定 


1) 风险 计算 原理 
经 过 识别 阶段 后 ,采用 适当 的 方法 与 工具 ,确定 威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 
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能 性 ,风险 计算 原理 形式 化 可 描述 为 
Re FA NV T= FL 7 

式 中 : R 表示 风险 ; A 表示 资产 ; V 表示 脆弱 性 ; 工 表示 威胁 ; I, 表示 资产 的 重要 程度 ; V， 
表示 资产 本 身 的 脆弱 性 ; L 表示 威胁 利用 资产 的 脆弱 性 造成 安全 事件 发 生 的 可 能 性 。 具 体 
而 言 分 为 以 下 几 个 步骤 。 

(1) 对 资产 的 弱点 进行 排序 。 

(2) 针对 每 一 个 弱点 ,确定 可 能 利用 此 弱点 造成 安全 事件 威胁 的 类 型 。 

(3) 给 确定 的 威胁 赋值 。 

(4) 将 威胁 值 与 脆弱 点 值 相 乘 ,得 出 安全 事件 发 生 的 可 能 性 , 即 安全 事件 发 生 的 可 能 
性 =L( 威 胁 可 能 性 ,脆弱 点 严重 性 ) 

(5) 根据 资产 的 重要 程度 以 及 安全 事件 发 生 的 可 能 性 计算 风险 值 , 即 风险 值 = (资产 
重要 程度 ,安全 事件 发 生 的 可 能 性 ) 

6. 风险 控制 

确定 安全 风险 等 级 后 ,就 需要 根据 风险 评估 的 结果 进行 相应 的 风险 处 理 。 处 理 方式 包 
括 以 下 3 种 。 

1) 降低 风险 

对 于 不 能 接受 的 风险 ,采取 适当 的 控制 措施 ,如 系统 安全 加 固 、 修 补漏 洞 、 人 员 培 训 等 ， 
减少 风险 发 生 的 可 能 性 ,降低 风险 发 生 的 影响 。 


2) 避免 风险 
对 于 可 以 通过 技术 措施 或 管理 /操作 措施 避免 的 风险 ,应 当 采 取 措 施 予 以 避免 ,如 内 外 
网 隅 离 措施 等 。 


3) 接受 风险 
对 于 那些 已 采取 措施 予以 降低 或 避免 的 风险 ,出 于 实际 和 其 他 方面 的 原因 ,其 残余 风险 
在 组 织 接受 的 范围 内 ,可 以 考虑 接受 风险 。 


5.3 小 结 


在 信息 时 代 , 信 息 成 为 第 一 战略 资源 ,起 着 至 关 重 要 的 作用 。 因 此 ,信息 资产 的 安全 是 
关系 到 企业 能 否 完成 其 使 命 的 大 事 。 资 产 与 风险 是 天 生 的 一 对 矛盾 ,资产 价值 越 高 ,面临 的 
风险 就 越 大 。 信 息 资 产 有 着 与 传统 资产 不 同 的 特性 ,面临 着 新 型 风险 。 信 息 安全 风险 管理 
的 目的 就 是 要 缓解 和 平衡 这 一 对 矛盾 ,将 风险 控制 到 可 接受 的 程度 ,保护 信息 及 其 相关 资 
产 , 最 终 保证 机 构 能 够 完成 其 使 命 。 

信息 安全 风险 评估 是 风险 管理 的 重要 组 成 部 分 ,是 信息 安全 工作 中 的 重要 一 环 。 信 息 
安全 风险 评估 是 对 组 织 存 在 的 威胁 进行 评估 、 对 安全 措施 有 效 性 进行 评估 以 及 对 系统 弱点 
被 利用 的 可 能 性 进行 评估 后 的 综合 结果 。 良 好 和 确切 的 风险 评估 是 成 功 的 信息 安全 风险 管 
理 的 基础 。 


-= 


第 5 章 信息 安全 风险 管理 与 风险 评估 


站 十 


. 简 述 信息 安全 风险 管理 与 风险 评估 的 概念 。 

. 简 述 信息 安全 风险 管理 的 内 容 。 

. 简 述 生命 周期 各 个 阶段 中 的 信息 安全 风险 管理 。 
. 信息 安全 风险 评估 模型 的 风险 要 素 有 哪 3 类 ? 

. 简 述 风险 评估 中 风险 信息 分 析 方 法 以 及 其 优 缺 点 。 
. 简 述 信息 安全 风险 评估 实施 流程 。 
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6.1 信息 安全 管理 的 基本 概念 


6.1.1 安全 管理 的 概念 


所 谓 管理 ,是 指 在 群体 活动 中 ,为 了 完成 一 定 的 任 
务 ,实现 既定 的 目标 ,针对 特定 的 对 象 ,遵循 确定 的 原 和 中 《活动 ) 
则 ,按照 规定 的 程序 ,运用 恰当 的 方法 ,所 进行 的 制订 计 
划 、 建 立 机 构 . 落 实 措施 .开展 培训 、 检 查 效 果 和 实施 改 
进 等 活动 。 其 中 ,管理 的 任务 .目标 对象. 原则、 程序 和 
方法 是 管理 策略 的 内 容 , 一 系列 的 管理 活动 是 在 管理 策 
略 的 指导 下 进行 的 。 所 以 ,首先 要 明确 管理 策略 ,然后 
才能 开展 管理 活动 。 管 理 的 概念 组 成 如 图 6-1 所 示 。 

安全 管理 是 以 管理 对 象 的 安全 为 任务 和 目标 的 管 
理 。 安 全 管理 的 任务 是 保证 管理 对 象 的 安全 。 安 全 管 
理 的 目标 是 达到 管理 对 象 所 需 的 安全 级 别 ,将 风险 控制 
在 可 以 接受 的 程度 。 

信息 安全 管理 是 以 信息 及 其 载体 一 一 即 以 信息 系 
统 为 对 象 的 安全 管理 。 信 息 安 全 管理 的 任务 是 保证 信 
息 的 使 用 安全 和 信息 载体 的 运行 安全 。 信 息 安 全 管理 
的 目标 是 达到 信息 系统 所 需 的 安全 级 别 , 将 风险 控制 在 
用 户 可 以 接受 的 程度 。 信 息 安 全 管理 有 其 相应 的 原则 、 程 序 和 方法 来 指导 和 实现 一 系列 的 
安全 管理 活动 。 管 理 、 安 全 管理 和 信息 安全 管理 的 概念 关系 如 图 6-2 所 示 。 


管理 


时 


J 


洛 实 措施 


开展 培训 


检查 效果 


6-1 管理 的 概念 组 成 


安全 党 理 
任务 : 保证 管理 对 象 的 安全 
目标 : 达到 所 需 的 安全 级 别 


言 恩 安 全 党 理 
对 象 * 信息 及 其 载体 


6-2 管理 安全 管理 和 信息 安全 管理 的 概念 关系 
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6.1.2 安全 管理 的 重要 性 


在 信息 时 代 , 信 息 是 一 种 资产 。 随 着 人 们 对 信息 资产 利用 价值 认识 的 不 断 提高 ,信息 资 
产 的 价值 也 在 不 断 提 升 ,信息 安全 的 问题 越发 受到 重视 。 针 对 各 种 风险 的 安全 技术 和 产品 
不 断 涌现 ,如 防火 墙 \. 入 侵 检 测 .漏洞 扫描 、 病 毒 防治 .数据 加 密 、 喘 份 认证 .访问 控制 .安全 审 
计 等 ,这 些 都 是 信息 安全 控制 的 重要 手段 ,并 且 还 在 不 断 地 丰富 和 完善 。 但 是 , 却 容易 给 人 
们 造成 一 种 错觉 ,似乎 足够 的 安全 技术 和 产品 就 能 够 完全 确保 一 个 组 织 的 信息 安全 。 其 实 
不 然 , 仅 通过 技术 手段 实现 的 安全 能 力 是 有 限 的 ,主要 体现 在 以 下 两 个 方面 。 

(1) 许多 安全 技术 和 产品 还 十 没有 达到 人 们 需要 的 水 准 。 例 如 ,微软 公司 的 Windows 
NT、IBM 公司 的 AIX 等 常见 的 企业 级 操作 系统 ,大 部 分 只 达到 了 美国 国防 部 TCSEC C2 
级 安全 认证 ,而且 核 心 技 术 和 知识 产权 都 是 国外 的 ,不 能 满足 国家 涉 密 信息 系统 或 商业 敏感 
信息 系统 的 需求 。 青 如 ,在 计算 机 病毒 与 病毒 防治 软件 的 对 抗 过 程 中 ,经 常 是 在 一 种 新 的 计 
算 机 病毒 出 现 并 已 经 造成 大 量 损 失 后 ,才能 开发 出 查 杀 该 病毒 的 软件 。 也 就 是 说 ,技术 往往 
落后 于 新 风险 的 出 现 。 

(2) 即使 某 些 安全 技术 和 产品 在 指标 上 达到 了 实际 应 用 的 某 些 安全 需求 ,但 如 果 配 置 
和 管理 不 当 , 也 不 能 真正 地 实现 这 些 安全 需求 。 例 如 ,虽然 在 网 络 边界 设置 了 防火 墙 ,但 出 
于 风险 分 析 欠 缺 、 安 全 策略 不 明 或 系统 管理 人 员 培 训 不 足 等 原因 ,防火墙 的 配置 出 现 严重 漏 
洞 ,其 安全 功效 将 大 打折 扣 。 再 如 ,虽然 引入 了 身份 认证 机 制 ,但 由 于 用 户 安全 意识 薄弱 ,再 
加 上 管理 不 严 ,使 得 口令 设置 或 保存 不 当 , 造 成 口令 泄露 ,那么 依靠 口令 检查 的 身份 认证 机 
制 会 完全 失效 。 

所 有 这 些 告诉 人 们 一 个 道理 , 即 仅 靠 技 术 不 能 获得 整体 的 信息 安全 ,需要 有 效 的 安全 管 
理 来 支持 和 补充 ,才能 确保 技术 发 挥 其 应 有 的 安全 作用 ,真正 实现 整体 的 信息 安全 。 俗 话说 
“三 分 技术 ,七 分 管理 ” ,就 是 强调 管理 的 重要 性 ,在 安全 领域 更 是 如 此 。 

信息 安全 管理 的 作用 如 下 。 

(1) 对 组 织 的 关键 信息 资产 进行 全 面 系统 的 保护 ,维持 竞争 优势 。 

(2) 在 信息 系统 受到 侵袭 时 ,确保 业务 持续 开展 并 将 损失 降 到 最 低 程 度 。 

(3) 促使 管理 层 贯 彻 信息 安全 管理 体系 ,强化 员工 的 信息 安全 意识 ,规范 组 织 信 息 安 全 
行为 。 

(4) 使 组 织 的 生意 伙伴 和 客户 对 组 织 充满 信心 。 

(5) 组 织 可 以 按照 安全 管理 达到 动态 的 、 系 统 的 、 全 员 参 与 .制度 化 的 、 以 预防 为 主 的 信 
息 安 全 管理 方式 ,用 最 低 的 成 本 达到 可 接受 的 信息 安全 水 平 ,从 根本 上 保证 业务 的 持续 性 。 


6.1.3 信息 安全 管理 策略 


信息 安全 管理 策略 应 包括 信息 安全 管理 的 任务 目标、 对 象 .原则 .程序 和 方法 。 

1. 信息 安全 管理 的 任务 

信息 安全 管理 的 任务 是 保证 信息 的 使 用 安全 和 信息 载体 的 运行 安全 。 信 息 的 使 用 安全 
是 通过 实现 信息 的 机 密 性 、 完 整 性 和 可 用 性 这 些 安全 属性 来 保证 的 。 信 息 载 体 包括 处 理 载 
体 、 传 输 载 体 、 存 储 载体 和 入 出 载体 ,其 运行 安全 就 是 指 计 算 系 统 、 网 络 系统 、 存 储 系 统 和 外 
设 系统 能 够 安全 地 运行 。 


98 信息 安全 工程 


2. 信息 安全 管理 的 目标 


信息 安全 管理 的 目标 是 达到 信息 系统 所 需 的 安全 级 别 , 将 风险 控制 在 用 户 可 以 接受 的 
程度 。 

3. 信息 安全 管理 的 对 象 

信息 安全 管理 的 对 象 从 内 涵 上 讲 是 指 信 息 及 其 载体 一 一 信息 系统 ,从 外 延 上 说 其 范围 
由 实际 应 用 环境 来 界定 。 


4. 信息 安全 管理 的 原则 

信息 安全 管理 遵循 如 下 基本 原则 。 

1) 策略 指导 原则 

所 有 的 信息 安全 管理 活动 都 应 该 在 统一 的 策略 指导 下 进行 。 

2) 风险 评估 原则 

信息 安全 管理 策略 的 制定 要 依据 风险 评估 的 结果 。 

3) 预防 为 主 原则 

在 信息 系统 的 规划 设计、 采购 、 集 成 和 安装 中 要 同步 考虑 信息 安全 问题 ,不 可 心 存 侥 六 
或 事后 弥补 。 

4) 适度 安全 原则 

要 平衡 安全 控制 的 费用 与 风险 危害 的 损失 ,注重 实效 ,将 风险 降 至 用 户 可 接受 的 程度 即 
可 ,没有 必要 追求 绝对 的 、 高昂 代 价 的 安全 ,实际 上 也 没有 绝对 的 安全 。 

5) 立足 国内 原则 

考虑 到 国家 安全 和 经 济 利益 ,安全 技术 和 产品 首先 要 立足 国内 ,不 能 未 经 许可 、 未 能 消 
化 改造 直接 使 用 境外 的 安全 保密 技术 和 产品 设备 ,信息 安全 方面 的 关键 技术 和 核心 技术 尤 
其 如 此 。 

6) 成 熟 技术 原则 

尽量 选用 成 熟 的 技术 ,以 得 到 可 靠 的 安全 保证 。 采 用 新 技术 时 要 慎重 ,要 重视 其 成 熟 
程度 。 

7) 规范 标准 原则 

安全 系统 要 遵循 统一 的 操作 规范 和 技术 标准 ,以 保证 互 连 通 和 互 操作 ,否则 ,就 会 形成 
一 个 个 安全 孤岛 ,没有 统一 的 整体 安全 可 言 。 

8) 均衡 防护 原则 

安全 防护 如 同 木 桶 装 水 ,一 是 只 要 木 桶 的 木板 有 一 块 坏 板 ,水 就 会 从 里 面 泄 漏出 来 ; 二 
是 木 桶 中 的 水 只 和 最 低 一 块 木 板 看 齐 , 其 他 木板 再 高 也 无 用 。 所 以 ,安全 防护 措施 要 注意 均 
衡 性 ,注意 是 否 存 在 清 弱 环节 或 漏洞 。 

9) 分 权 制 衡 原 则 

要 害 部 位 的 管理 权限 不 应 交 给 一 个 人 管理 ,否则 ,一 旦 出 现 问 题 将 全 线 崩 演 。 分 权 可 以 
相互 制约 ,提高 安全 性 。 

10) 全 体 参 与 原则 

安全 问题 不 只 是 安全 管理 人 员 的 事情 ,全 体 相 关 人 员 都 有 责任 。 如 果 安 全 管理 人 员 制 
定 的 安全 制度 和 措施 得 不 到 相关 人 员 的 切实 执行 ,安全 隐患 依然 存在 ,安全 问题 就 不 会 得 到 
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真正 解决 。 

11) 应 急 恢 复原 则 

安全 防护 不 怕 一 万 就 怕 万 一 ,因此 安全 管理 要 有 应 急 响 应 预案 ,并 且 要 进行 必要 的 演 
练 , 一 旦 出现 问题 就 能 够 马上 采取 应 急 措 施 ,阻止 风险 的 葛 延 和 恶化 ,将 损失 减少 到 最 低 
程度 。 

天 灾 人 祸 在 所 难免 ,因此 在 灾难 不 能 同时 波及 的 地 区 设立 备份 中 心 ,保持 备份 中 心 与 主 
系统 数据 的 一 臻 性。 一 旦 主 系统 过 到 灾难 而 瘫痪 , 便 可 立即 启动 备份 系统 ,使 系统 从 灾难 中 
得 以 恢复 ,保证 系统 的 连续 工作 。 

12) 持续 发 展 原则 

为 了 应 对 新 的 风险 ,对 风险 要 实施 动态 管理 。 因 此 ,要 求 安 全 系统 具有 延续 性 、 可 扩展 
性 ,能 够 持续 改进 ,始终 将 风险 控制 在 可 接受 的 水 平 。 

5. 信息 安全 管理 的 程序 

信息 安全 管理 的 程序 遵循 PDCA 循环 模式 的 4 大 基本 步骤 。 

(1) 计划 (plan)。 制 订 工 作 计划 ,明确 责任 分 工 , 安 排 工 作 进度 ,突出 工作 重点 ,形成 工 
作文 件 。 

(2) 执行 (do)。 按 照 计 划 展 开 各 项 工作 ,包括 建立 权威 的 安全 机 构 、 落 实 必 要 的 安全 指 
施 、 开 展 全 员 的 安全 培训 等 。 

(3) 检查 (check)。 对 上 述 工 作 所 构建 的 信息 安全 管理 体系 进行 符合 性 检查 ,包括 是 否 
符合 法 律 法 规 的 要 求 , 是 否 符 合 安 全 管理 的 原则 ,是 否 符合 安全 技术 的 标准 ,是 否 符 合 风 险 
控制 的 指标 ,等 等 ,并 报告 结果 。 

(4) 行动 (action)。 依 据 上 述 检查 结果 ,对 现 有 信息 安全 管理 策略 的 适宜 性 进行 评审 与 
评估 ,评价 现 有 信息 安全 管理 体系 的 有 效 性 ,采取 改进 措施 。 

6. 信息 安全 管理 的 方法 

信息 安全 管理 根据 具体 管理 对 象 的 不 同 ,采用 不 同 的 具体 管理 方法 。 信 息 安全 管理 的 
具体 对 象 包 括 机 构 、 人 员 软件、 设备 、 介 质 、 涉 密 信 息 、 技 术 文 档 、 网 络 连 接 、 门 户 网 站 、 应 急 
恢复 、 安 全 审计 ,场地 设施 等 。 


6.1.4 信息 安全 管理 体系 


信息 安全 管理 发 展 至 今 , 人 们 越 来 越 认 识 到 安全 管理 在 整个 企业 运营 管理 中 的 重要 性 ， 
而 作为 信息 安全 管理 方面 最 著名 的 国际 标准 一 一 ISO/IEC 27001, 则 成 为 可 以 指导 现实 工 
作 的 最 好 参照 。 

ISO 27001 目前 作为 国际 标准 , 正 迅速 被 全 球 所 接受 。 依 据 ISO 27001 标准 进行 信息 
安全 管理 体系 建设 ,是 当前 各 行业 组 织 在 推动 信息 安全 保护 方面 最 普遍 的 思路 和 正确 的 
决策 。 

ISO 27001 为 组 织 建立 、 实 施 、 维 护 和 持续 改进 信息 安全 管理 体系 (ISMS) 提 出 相关 要 
求 。 采 用 ISMS 是 组 织 的 一 项 战略 决策 。 组 织 ISMS 的 设计 和 实施 受 组 织 的 战略 决策 、 组 
织 需 求 .目标 、 安 全 需求 以 及 工作 流程 和 组 织 规模 等 因素 的 影响 。 上 述 因 素 会 随 着 时 间 的 推 
移 而 不 断 发 生变 化 。 
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信息 安全 管理 体系 通过 实施 风险 管理 过 程 来 保护 组 织 信息 的 机 密 性 完整 性 和 可 用 性 ， 
对 风险 进行 充分 的 管理 并 为 相关 方 带 来 信心 。 

1. ISMS 标准 

组 织 应 在 其 整体 业务 活动 中 且 在 所 面临 风险 的 环境 下 建立 、 实施 .运行 .监视 .评审 
ISMS ,形成 文件 ,并 保持 和 改进 其 有 效 性 文档 化 的 ISMS。 

2. 建立 和 管理 ISMS 


组 织 应 做 以 下 方面 的 工作 。 

(1) 根据 业务 .组 织 、 人 位置. 资产 和 技术 等 方面 的 特性 ,确定 ISMS 的 范围 和 边界 ,包括 
对 范围 任何 删 减 的 详细 说 明和 正当 理由 。 

(2) 根据 业务 .组织 、 位置 .资产 和 技术 等 方面 的 特性 ,确定 ISMS 方针 。ISMS 方针 应 
包括 以 下 内 容 。 

中 包括 设 定 目 标的 框架 和 建立 信息 安全 工作 的 总 方 品 和 原则 。 

@ 考虑 业务 和 法 律 法 规 的 要 求 及 合同 中 的 安全 义务 。 

G) 在 组 织 的 战略 性 风险 管理 环境 下 ,建立 和 保持 ISMS 。 

@ 建立 风险 评价 的 准则 。 

@ 获得 管理 者 批准 。 

(3) 确定 组 织 的 风险 评估 方法 。 

Qa 识别 适合 ISMS 已 识别 的 业务 信息 安全 和 法 律 法 规 要 求 的 风险 评估 方法 。 

@ 制定 接受 风险 的 准则 ,识别 可 接受 的 风险 级 别 。 选 择 的 风险 评估 方法 应 确保 风险 评 
估 产 生 可 比较 的 和 可 再 现 的 结果 。 

(4) 识别 风险 。 

DO 识别 ISMS 范围 内 的 资产 及 其 责任 人 。 

@ 识别 资产 所 面临 的 威胁 。 

G) 识别 可 能 被 威胁 利用 的 脆弱 性 。 

@ 识别 丧失 保密 性 完整 性 和 可 用 性 可 能 对 资产 造成 的 影响 。 

(5) 分 析 和 评价 风险 。 

Qa 在 考虑 丧失 资产 的 保密 性 、 完 整 性 和 可 用 性 所 造成 的 后 果 的 情况 下 ,评估 安全 失效 
可 能 造成 的 影响 。 

@ 根据 主要 的 威胁 和 脆弱 性 、 对 资产 的 影响 以 及 当前 所 实施 的 控制 措施 ,评估 安全 失 
效 发 生 的 现实 可 能 性 。 

@ 估计 风险 的 级 别 。 

@ 确定 风险 是 否 可 接受 ,或 者 是 否 需 要 在 使 用 中 对 所 建立 的 接受 风险 的 准则 进行 
处 理 。 

(6) 识别 和 评价 风险 处 理 的 可 选 措施 ,可 能 的 措施 如 下 。 

@ 采用 适当 的 控制 措施 。 

@ 在 明显 满足 组 织 方针 策略 和 接受 风险 准则 的 条 件 下 ,有 意识 地 、 客 观 地 接受 风险 。 

G) 避免 风险 。 

@ 将 相关 业务 风险 转移 到 其 他 方 , 如 保险 、 供 应 商 等 。 
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(7) 为 处 理 风 险 选 择 控制 目标 和 控制 措施 。 

控制 目标 和 控制 措施 应 加 以 选择 和 实施 ,以 满足 风险 评估 和 风险 处 理 过 程 中 所 识别 的 
要 求 。 这 种 选择 应 考虑 接受 风险 的 准则 法律 法 规 以 及 合同 要 求 。 

(8) 获得 管理 者 对 建议 的 残余 风险 的 批准 ,获得 管理 者 对 实施 和 运行 ISMS 的 授权 。 

(9) 准备 适用 性 声明 (Statement of Applicability,SoA)。 应 从 以 下 几 方 面 准备 适用 性 
声明 。 

QD 所 选择 的 控制 目标 和 控制 措施 以 及 选择 的 理由 。 

@ 当前 实施 的 控制 目标 和 控制 措施 。 

@ 对 任何 控制 目标 和 控制 措施 的 删 减 ,以 及 删 减 的 合理 性 说 明 。 

3. 实施 和 运行 ISMS 

(1) 为 管理 信息 安全 风险 识别 适当 的 管理 措施 、 资 源 、 职 责 和 优先 顺序 , 即 制订 风险 处 
理 计划 。 

(2) 实施 风险 处 理 计 划 以 达到 已 识别 的 控制 目标 ,包括 资金 安排 .角色 和 职责 的 分 配 。 

(3) 实施 所 选择 的 控制 措施 ,以 满足 控制 目标 。 

(4) 确定 如 何 测量 所 选择 的 控制 措施 或 控制 措施 集 的 有 效 性 ,并 指明 如 何 用 这 些 测量 
措施 来 评估 控制 措施 的 有 效 性 ,以 产生 可 比较 的 和 可 再 现 的 结果 。 

(5) 实施 培训 和 意识 教育 计划 。 

(6) 管理 ISMS 的 运行 。 

(7) 管理 ISMS 的 资源 。 

(8) 实施 能 够 迅速 检测 安全 事态 和 啊 应 安全 事件 的 规程 和 其 他 控制 措施 。 

4. 监视 和 评审 ISMS 

(1) 执行 监视 与 评审 规程 和 其 他 控制 措施 ,以 达到 如 下 目的 。 

QO 迅速 检测 过 程 运行 结果 中 的 错误 。 

多 迅速 识别 试图 的 和 得 退 的 安全 违规 和 事件 。 

@) 使 管理 者 能 够 确定 分 配给 人 员 的 安全 活动 或 通过 信息 技术 实施 的 安全 活动 是 否 按 
期 望 执 行 。 

@ 通过 使 用 指示 器 ,帮助 检测 安全 事态 并 预防 安全 事件 。 

@ 确定 解决 安全 违规 的 措施 是 否 有 效 。 

(2) 在 考虑 安全 审核 结果 .事件 ,有 效 性 测量 结果 .所 有 相关 方 的 建议 和 反馈 的 基础 上 ， 
进行 ISMS 有 效 性 的 定期 评审 (包括 满足 ISMS 方针 和 目标 ,以 及 安全 控制 措施 的 评审 ) 。 

(3) 测量 控制 措施 的 有 效 性 以 验证 安全 要 求 是 否 被 满足 。 

(4) 按照 计划 的 时 间 间 隅 进行 风险 评估 的 评审 ,以 及 对 残余 风险 和 已 确定 的 .可 接受 的 
风险 级 别 进 行 评 审 ,应 考虑 以 下 变化 。 

DO 组 织 。 

@ 技术 。 

G) 业务 目标 和 过 程 。 

@ 已 识别 的 威胁 。 

已 实施 的 控制 措施 的 有 效 性 。 
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@ 外 部 事态 ,如 法 律 法 规 环境 的 变更 合同 义务 的 变更 和 社会 环境 的 变更 。 

(5) 按 计 划 的 时 间 间 隔 , 实 施 ISMS 内 部 审核 。 内 部 审核 有 时 称 为 第 一 方 审核 ,是 用 于 
内 部 目的 .由 组 织 自己 或 以 组 织 的 名 义 所 进行 的 审核 。 

(6) 定期 进行 ISMS 管理 评审 ,以 确保 ISMS 范围 保持 充分 、ISMS 过 程 的 改进 得 到 
识别 。 

(7) 考虑 监视 和 评审 活动 的 结果 ,以 更 新 安全 计划 。 

(8) 记录 可 能 影响 ISMS 的 有 效 性 或 执行 情况 的 措施 。 

5. 保持 和 改进 ISMS 


(1) 实施 已 识别 的 ISMS 改进 。 

(2) 采取 合适 的 纠正 和 预防 措施 。 从 其 他 组 织 和 组 织 目 身 的 安全 经 验 中 吸取 教训 。 

(3) 向 所 有 相关 方 沟通 措施 和 改进 情况 ,其 详细 程度 应 与 环境 相 适 应 ,必要 时 商定 如 何 
进行 。 

(4) 确保 改进 达到 了 预期 目标 。 

6. 文档 要 求 总 则 

文档 应 包括 管理 决定 的 记录 ,以 确保 所 采取 的 措施 符合 管理 决定 和 方针 策略 ,还 应 确保 
所 记录 的 结果 是 可 重复 产生 的 。 重 要 的 是 ,能 够 显示 出 所 选择 的 控制 措施 回溯 到 风险 评估 
和 风险 处 理 过 程 的 结果 ,并 进而 回溯 到 ISMS 方针 和 目标 之 间 的 关系 。 


7. 管理 承诺 
管理 者 应 通过 以 下 活动 ,对 建立 实施、 运行 监视, 评审 ,保持 和 改进 ISMS 的 承诺 提供 
证 据 。 


(1) 制定 ISMS 方针 。 

(2) 确保 ISMS 目标 和 计划 得 以 制订 。 

(3) 建立 信息 安全 的 角色 和 职责 

(4) 回 组 织 传达 满足 信息 安全 目标 .符合 信 息 安 全 方针 、 履 行 法 律 责 任 和 持续 改进 的 重 
要 性 。 

(5) 提供 足够 资源 ,以 建立 、 实 施 .运行 ,监视 .评审 、 保 持 和 改进 ISMS。 

(6) 决定 接受 风险 的 准则 和 风险 的 可 接受 级 别 。 

(7) 确保 ISMS 内 部 审核 的 执行 。 

(8) 实施 ISMS 的 管理 评审 。 

8. 纠正 措施 


组 织 应 采取 措施 ,消除 与 ISMS 要 求 不 符合 的 原因 ,并 防止 再 发 生 。 形 成 文档 的 纠正 措 
施 规程 ,应 规定 以 下 要 求 。 

(1) 识别 不 符合 ISMS 的 要 求 。 

(2) 确定 不 符合 ISMS 的 要 求 的 原因 。 

(3) 评价 确保 不 符合 ISMS 的 要 求 不 再 发 生 的 措施 需求 。 

(4) 确定 和 实施 所 需要 的 纠正 措施 。 

(5) 记录 所 采取 措施 的 结果 。 

(6) 评审 所 采取 的 纠正 措施 
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9. 预防 措施 


组 织 应 确定 预防 措施 ,以 消除 潜在 不 符合 ISMS 的 原因 ,防止 其 发 生 。 预 防 措施 应 与 潜 
在 问题 的 影响 程度 相 适 应 。 形 成 文档 的 预防 措施 规程 ,应 规定 以 下 方面 的 要 求 。 

(1) 识别 潜在 的 不 符合 ISMS 的 要 求 及 其 原因 。 

(2) 评价 防止 不 符合 ISMS 的 要 求 发 生 的 措施 需求 。 

(3) 确定 和 实施 所 需要 的 预防 措施 。 

(4) 记录 所 采取 措施 的 结果 。 

(5) 评审 所 采取 的 预防 措施 。 


6.2 信息 安全 管理 模型 


信息 安全 管理 有 多 种 模型 或 模式 ,各 种 模型 是 从 不 同 角度 构建 的 ,都 有 各 自 特别 适用 的 
范围 或 对 象 , 但 各 种 模型 所 提出 的 安全 管理 概念 都 有 利于 对 信息 安全 管理 的 原理 和 实践 进 
行 理 解 。 归 纳 起 来 ,目前 比较 流行 的 模型 有 以 下 4 种 。 

(1) 安全 要 素 关 系 模型 。 

(2) 风险 要 系 关 系 模型 。 

(3) 基于 过 程 的 风险 管理 模型 。 

(4) PDCA 模型 。 

上 述 概念 模型 和 组 织 的 业务 目标 一 起 可 形成 一 个 对 组 织 的 信息 安全 目标 方针 和 策略 
的 安全 管理 轮廓 。 信 息 安全 的 整体 目标 就 是 保证 组 织 的 信息 系统 能 够 安全 地 运行 ,并 且 将 
风险 控制 在 可 以 接受 的 程度 。 任 何 安 全 措施 都 不 是 万 能 的 ,也 不 是 对 任何 风险 完全 有 效 的 ， 
因此 需要 规划 和 实施 预防 意外 事件 的 数据 备份 或 系统 备份 ,以 及 事件 发 生 后 的 恢复 计划 , 构 
建 可 将 损坏 程度 限制 在 一 定 范 围 的 安全 保障 体系 。 


6.2.1 安全 要 素 关 系 模型 


信息 系统 安全 是 一 个 需要 从 不 同方 面 来 观察 和 研究 的 多 维 问 题 。 为 了 确定 和 实现 一 个 
全 局 的 ,一致 的 信息 安全 方针 和 策略 ,一 个 组 织 应 该 考虑 与 之 相关 的 所 有 方面 的 问题 。 安 全 
要 素 之 间 的 关系 说 明了 资产 可 能 受 大 量 潜在 威胁 的 情况 ,如 图 6-3 所 示 。 一 般 来 说 ,这 些 威 
胁 的 集合 总 是 随时 间 变 化 的 ,并 且 只 有 部 分 是 已 知 的 或 可 预见 的 。 

这 一 模型 表示 的 含义 如 下 。 

(1) 环境 约束 和 威胁 ,其 中 环境 情况 和 约束 条 件 是 相对 稳定 的 ,其 变化 是 可 以 预见 的 ， 
而 威胁 则 是 动态 变化 的 ,并 且 只 有 部 分 是 已 知 的 或 者 是 可 预见 的 。 

(2) 应 予以 保护 的 组 织 的 信息 系统 资产 及 其 价值 。 

(3) 这 些 资产 存在 的 脆弱 性 。 

(4) 为 保护 资产 .消除 或 减少 脆弱 性 、 降 低 风 险 所 选择 的 安全 保护 措施 。 

(5) 评估 可 接受 的 残留 风险 。 

如 图 6-3 所 示 ,一 些 安全 措施 (S) 可 以 在 降低 与 多 种 威胁 (T) 和 多 种 脆弱 性 (V) 相 关联 
的 风险 CR) 中 起 作用 。 有 时 需要 几 种 安全 措施 才能 保证 残留 风险 CRR) 是 可 接受 的 。 在 残 
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留 风险 经 过 评估 并 认为 是 可 接受 的 情况 下 ,即使 出 现 威胁 ,也 没 必要 采取 额外 的 安全 措施 ， 
但 应 加 强 监 视 ; 在 另外 一 些 情况 下 可 能 存在 某 种 脆弱 性 ,但 没有 已 知 的 威胁 利用 它 , 可 以 采 
用 一 些 安全 措施 来 监视 威胁 实施 的 环境 ,以 确保 没有 威胁 能 开发 或 利用 该 脆弱 性 。 模 型 中 
的 约束 (C) 可 以 影响 安全 措施 的 选择 。 


图 例 : 
R 一 风险 
RR 一 残留 风险 


V 一 胞 级 性 


图 6-3 安全 要 素 之 间 的 关系 
这 一 概念 模型 展示 了 需 保 护 的 信息 系统 资产 及 其 价值 与 脆弱 性 、 威 胁 、 风 险 ,残留 风险 
以 及 环境 和 约束 等 安全 要 素 之 间 的 关系 ,提供 了 一 种 围绕 资产 及 其 价值 进行 安全 管理 的 
6.2.2 风险 要 素 关 系 模型 
风险 要 素 关 系 模 型 前 述 了 与 风险 相关 的 安全 要 素 之 间 的 关系 ,如 图 6-4 所 示 。 为 了 展 
示 得 简单 清晰 ,这 里 只 表示 了 主要 关系 。 


6-4 风险 要 素 关 系 模 型 
信息 系统 的 资产 可 能 存在 风险 ,例如 信息 的 泄露 .未 经 授权 的 修改 ` 不 可 用 和 抵赖 ,信息 


服务 的 不 可 用 或 能 力 降低 等 。 对 于 这 些 风 险 ,首先 要 识别 出 资产 的 真实 价值 ,然后 要 考虑 哪 
些 威 胁 可 能 会 造成 影 啊 ,进一步 , 反 过 来 考查 哪些 脆弱 性 可 能 会 被 这 些 威胁 利用 ,造成 影 
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以 及 它们 发 生 的 可 能 性 有 多 大 。 根 据 资 产 的 价值 .脆弱 性 的 严重 程度 以 及 威胁 的 等 级 确定 
出 风险 大 小 。 对 风险 的 识别 和 度量 能 够 导出 整个 安全 保护 的 需求 ,并 通过 安全 措施 的 实施 
来 满足 。 安 全 措施 的 实施 可 以 对 抗 威胁 ,并 减少 风险 。 

这 一 概念 模型 从 风险 要 素 之 间 的 逻辑 关系 方面 提供 了 围绕 风险 要 素 进行 安全 管理 的 思 
路 。 这 一 模型 与 图 6-3 所 示 的 模型 比较 ,在 风险 控制 成 本 与 被 保护 的 资产 之 间 考 虑 了 平衡 。 

6-5 和 图 6-6 分 别 说 明了 资产 、 保 护 需求 与 威胁 .脆弱 性 之 间 的 逻辑 关系 。 

图 6-5 说 明 保 护 需求 源 于 资产 及 其 价值 ,重点 考虑 了 威胁 利用 资产 的 脆弱 性 对 资产 构 
成 的 风险 情况 ,三 者 之 间 建 立 了 在 考虑 威胁 因素 情况 下 关于 保护 需求 与 资产 价值 的 平衡 


采取 
ey 


安全 措施 


6-5 资产、 保护 需求 与 威胁 的 关系 示意 


图 6-6 说 明 保 护 需 求 源 于 资产 及 其 价值 ,重点 考虑 了 由 于 资产 脆弱 性 引起 的 风险 情况 ， 
三 者 之 间 建 立 了 在 考虑 资产 脆弱 性 情况 下 关于 保护 需求 与 资产 价值 的 平衡 关系 。 


COB Dr 


6-6 ”资产 ,保护 需求 与 脆弱 性 的 关系 示意 


6.2.3 基于 过 程 的 风险 管理 模型 


基于 过 程 的 风险 管理 是 一 个 由 许多 子 过 程 组 成 
的 系统 工程 。 其 中 一 些 过 程 , 例 如 配置 管理 和 变更 
管理 ,可 以 用 来 控制 安全 以 外 的 其 他 过 程 。 经 验 表 
明 ,过 程 风 险 管 理 及 其 风险 分 析 子 过 程 在 信息 安全 
管理 中 极其 有 用 。 图 6-7 说 明了 基于 过 程 的 风险 管 


贡 任 分 配 与 确认 
意识 


配置 管理 


全 
变更 管理 


理 的 几 个 方面 ,包括 风险 分 析 、 变 更 管理 配置 管理 i 0 
Wj 人 

和 风险 调控 等 。 策略 
风险 管理 是 一 个 基于 可 接受 成 本 的 、 对 影响 信 图 6-7 基于 过 程 的 风险 管理 


息 系 统 安全 的 风险 进行 识别 ,控制 .最 小 化 或 消除 过 
程 。 风 险 管理 根据 评估 的 风险 与 保护 效能 和 保护 成 本 的 比较 ,综合 考虑 不 同类 型 的 安全 措 
施 及 配置 这 些 措施 所 花费 的 代价 以 及 从 保护 中 获得 利益 之 间 的 平衡 关系 ,然后 制定 出 与 组 
织 的 信息 安全 策略 和 业务 目标 相 一 致 的 信息 系统 安全 方针 和 实现 策略 。 安 全 措施 的 选择 与 
风险 有 关 。 可 接受 的 残留 风险 的 等 级 是 风险 评估 的 基础 。 重 要 的 是 ,要 在 识别 和 实现 安全 
措施 过 程 中 对 所 耗费 的 最 小 成 本 和 组 织 所 拥有 的 资源 价值 之 间 取 得 平衡 ,也 就 是 说 信息 系 
统 的 安全 保护 要 适度 。 

风险 管理 是 一 系列 渐进 的 活动 。 对 于 新 系统 或 者 计划 阶段 中 的 系统 来 说 ,要 准备 将 风 
险 管理 贯穿 到 设计 、 开 发 和 系统 运 维 过 程 中 。 对 于 已 经 存在 的 系统 ,应 该 适时 引入 风险 管 
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理 。 而 当 计划 对 系统 进行 重大 变更 时 ,风险 管理 应 该 成 为 这 一 变更 计划 的 一 部 分 。 风 险 管 
理应 该 考虑 一 个 组 织 中 的 所 有 信息 处 理 系 统 ,而 不 应 该 孤立 地 应 用 到 某 一 个 系统 。 同 时 特 
别 强调 ,安全 措施 本 身 也 可 能 包含 脆弱 性 ,进而 可 能 导致 新 的 风险 。 因 此 在 设计 或 者 选取 安 
全 保护 措施 时 ,要 注意 不 因 采 取 新 的 安全 措施 而 引入 新 的 安全 脆弱 性 ,从 而 导致 新 的 风险 ， 
故 选择 安全 措施 必须 小 心 ,要 做 到 在 减少 风险 的 同时 ,不 引进 新 风险 。 

风险 分 析 是 对 那些 需要 被 控制 或 被 接受 的 风险 进行 识别 。 信 息 系 统 的 风险 分 析 涉 及 对 
资产 价值 、. 脆 弱 性 和 威胁 以 及 威胁 的 后 果 进 行 综合 分 析 。 风 险 是 通过 对 机 蜜 性 、 完 整 性 、 可 
用 性 、 可 靠 性 、 抗 抵赖 及 可 确认 性 的 可 能 损坏 进行 识别 和 分 析 的 。 

责任 分 配 与 确认 是 风险 管理 中 的 一 种 重要 的 措施 , 它 明确 无 误 地 将 责任 进行 分 配 并 确 
定 责任 者 。 因 此 ,资产 的 所 有 权 和 相关 的 安全 责任 人 加 上 对 安全 行为 的 审计 ,可 以 回溯 并 追 
究 安全 事件 的 责任 ,以 此 增强 相关 人 员 的 安全 意识 ,并 对 来 自 内 部 或 外 部 的 恶意 行为 人 构成 
威慑 ,这 对 信息 系统 的 安全 来 说 非常 重要 。 

监控 是 实施 安全 措施 所 需要 的 ,安全 措施 本 和 号 的 监控 功能 则 能 确保 安全 功能 正常 发 挥 
作用 。 在 安全 设备 运行 期 间 , 当 环境 改变 后 ,监控 功能 应 仍 能 维持 所 设计 的 功能 。 系 统 日 志 
的 自动 审核 和 分 析 是 帮助 系统 性 能 达到 预期 效果 的 有 效 工 具 。 这 些 工 具 也 可 以 用 来 检测 有 
害 事件 ,并 可 以 对 某 些 潜在 威胁 起 到 威慑 的 作用 .。 

需要 定期 验证 安全 措施 是 否 保 持 了 设计 的 效能 。 通 过 监控 和 对 安全 效能 符合 性 的 检测 
可 以 确定 安全 措施 正常 发 挥 功效 。 很 多 安全 措施 会 产生 输出 ,例如 日 志 、 报 警 信息 等 。 通 过 
检查 这 些 输出 信息 可 以 发 现 安全 事件 和 分 析 潜 在 的 安全 事件 。 系 统 审计 功能 可 以 在 安全 管 
理 方 面 提供 有 用 的 信息 ,并 能 提供 监控 所 需 的 输入 信息 。 

安全 意识 是 确保 信息 系统 安全 所 需 的 基本 要 素 。 组 织 中 的 有 关 人 员 缺 乏 安全 意识 以 及 
不 规范 或 不 良 的 操作 习惯 会 极 大 地 降低 安全 措施 的 有 效 性 或 者 引发 风险 。 一 个 组 织 中 的 操 
作 人 员 通 常 被 认为 是 信息 安全 链 中 的 薄弱 环节 之 一 。 为 确保 组 织 中 的 每 个 人 都 有 足够 的 安 

意识 ,非常 有 必要 建立 和 维持 有 效 的 安全 意识 培训 规程 。 建 立 这 个 规程 的 主要 目的 是 向 
员工 、 合 作 伙 伴 、 供 应 商 阐明 以 下 内 容 。 

(1) 安全 目标 、 安 全 方针 和 策略 。 

(2) 与 他 们 的 角色 和 责任 相关 的 操作 规范 要 求 。 

(3) 从 职业 道德 和 行政 .技术 规范 上 需要 养 成 良好 习惯 和 必须 遵从 的 行为 准则 。 

此 外 ,安全 培训 规程 还 应 提供 规范 员工 、 合 作 伙 伴 和 供应 商 在 安全 保障 体系 中 承担 的 安 
全 责任 和 义务 的 内 容 。 

应 使 组 织 内 从 高 层 管 理 人 员 到 负责 日 党 事务 的 员工 都 知晓 并 贯彻 实施 安全 意识 规程 。 
通常 需要 针对 组 织 中 不 同 部 门 的 人 ,不同 的 角色 以 及 负 不 同 责任 的 人 制作 相应 的 安全 意识 
教育 材料 。 一 个 比较 合理 的 综合 性 的 安全 意识 规程 培训 是 分 阶段 完成 的 。 每 个 阶段 的 培训 
内 容 都 以 以 前 的 经 验 为 基础 ,从 安全 的 概念 开始 到 如 何 解决 出 现 的 安全 问题 。 

组 织 内 的 安全 意识 教育 规程 可 以 包括 各 种 各 样 的 活动 ,其 中 一 项 活动 是 安全 意识 教育 
材料 的 制作 和 发 布 ; 另 一 项 活动 是 举办 训练 课程 ,对 所 有 员工 有 针对 性 地 进行 合适 的 安全 
技术 和 实践 培训 。 此 外 ,训练 课程 还 应 提供 奋 干 特定 安全 专题 方面 的 具有 专业 水 准 的 讲座 。 
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一 般 来 说 ,在 业务 培训 计划 中 加 入 安全 知识 是 行 之 有 效 的 。 对 于 安全 意识 培训 规程 的 制定 
需要 考虑 以 下 问题 。 

(1) 培训 需求 分 析 。 

(2) 培训 课程 的 开发 与 提交 。 

(3) 对 培训 规程 执行 情况 的 监控 。 

(4) 安全 意识 培训 规程 的 内 容 。 

配置 管理 或 控制 是 启动 并 维持 系统 参数 配置 的 过 程 ,以 正式 或 非 正 式 的 方式 完成 。 配 
置 管理 的 基本 安全 目标 是 确保 及 时 获得 信息 系统 变更 后 所 需 的 安全 运行 参数 和 安全 控制 参 
数 配 置 表 , 以 不 降低 安全 措施 效能 和 组 织 的 整体 安全 的 方式 对 已 批准 的 系统 变更 进行 安全 


管理 。 


变更 管理 是 另外 一 种 过 程 一 一 当 一 个 信息 系统 发 生变 更 时 用 来 帮助 识别 新 的 安全 管理 
需求 。 信 息 系 统 及 运行 环境 经 常 发 生变 化 ,这 些 变 化 或 者 是 由 新 的 信息 系统 特性 和 服务 所 
导致 的 ,或 是 因为 发 现 新 的 脆弱 性 和 威胁 。 信 息 系 统 的 变更 包括 以 下 内 容 。 

(1) 运行 环境 。 

(2) 新 的 程序 。 

(3) 新 的 功能 和 性 能 。 

(4) 软件 升级 。 

(5) 硬件 更 换 。 


(6) 新 增 用 户 ,包括 外 部 用 户 组 或 匿名 组 。 

(7) 增加 子 网 或 增加 与 外 部 网 络 互联 。 

(8) 新 的 脆弱 性 或 威胁 出 现 。 

当 信 息 系 统 发 生变 动 或 者 计划 变动 信息 系统 时 ,重要 的 是 确定 这 些 变动 会 对 系统 安全 
读 来 的 影响 。 如 果 系 统 拥 有 配置 控制 中 心 或 者 其 他 组 织 机 构 来 管理 系统 的 技术 变动 ,那么 
应 指定 信息 系统 安全 员 并 赋予 其 相应 的 职责 ,以 便 对 这 些 变动 是 否 会 影响 系统 的 安全 以 及 
影 啊 的 程度 做 出 判断 。 在 某 些 情况 下 ,需要 对 变动 可 能 降低 系统 安全 的 原因 进行 分 析 , 这 时 
往往 需要 评估 安全 性 降低 的 程度 ,并 基于 所 有 有 关 的 事实 做 出 管理 决策 。 换 名 话说 ,改变 一 
个 系统 需要 适时 地 考虑 对 安全 的 影响 。 对 于 涉及 购买 新 的 便 件 、 软 件 或 服务 的 重大 改变 , 需 
要 分 析 以 确定 新 的 安全 需求 。 另 一 方面 ,许多 变动 只 造成 小 的 系统 性 能 变化 ,不 需要 像 发 生 
结构 性 变动 那样 做 深入 的 分 析 。 然 而 ,不 管 系统 变动 大 或 小 都 需要 进行 风险 评估 ,确定 保护 
收益 与 成 本 之 间 的 平衡 。 

业务 持续 性 管理 是 维持 业务 不 间断 的 管理 过 程 , 它 为 确保 业务 的 连续 运营 提供 进程 和 
资源 的 持续 可 用 性 。 业 务 持续 管理 还 包括 应 急 计划 和 灾难 恢复 。 

应 急 计划 是 当 信 息 系 统 运行 和 维持 能 力 降 低 或 系统 不 可 用 时 如 何 维持 或 快速 恢复 基本 
运行 业务 的 保证 。 这 些 计划 应 当 涉 及 以 下 各 种 可 能 的 情况 。 

(1) 规定 各 种 业务 容忍 中 断 的 时 间 , 通 稼 以 小 时 或 分 计算 。 

(2) 预 估 不 同类 型 设施 所 受 的 损失 。 

(3) 估计 建筑 物 及 其 附属 设施 所 受 的 总 损失 。 

(4) 恢复 到 损失 发 生前 状态 所 需 的 时 间 。 

灾难 恢复 计划 描述 怎样 使 受 安 全 事件 影响 的 信息 系统 恢复 运行 。 灾 难 恢复 计划 包括 以 
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下 内 容 。 一 一 一 
(1) 制定 灾难 的 识别 准则 。 

(2) 确定 恢复 计划 的 职责 。 
(3) 履行 恢复 计划 的 职责 ， | 
评估 风险 ni 
风险 分 析 


(4) 恢复 活动 的 过 程 描 述 。 


(5) 测试 恢复 计划 是 否 有 效 。 贿 |mi 时 
风险 调控 过 程 贯穿 于 安全 工程 的 整个 生命 周期 。 


| 
图 6-8 说 明了 风险 调控 的 各 个 环节 及 其 调控 流程 。 加 


沟 
通 
与 
bg 
口 
: 


这 一 模型 的 优点 是 强调 了 基于 风险 调控 的 各 个 
阶段 ,具有 一 定 的 可 操作 性 ; 缺点 是 对 于 各 个 阶段 之 残留 风 辽 
间 的 关系 没有 给 出 具有 逻辑 性 的 描述 。 6-8 风险 调控 过 程 概览 


6.2.4 PDCA 模型 


PDCA 循环 是 美国 质量 管理 专家 休 哈 特 博 士 首 先 提 出 的 ,由 戴 明 采纳 宣传 并 获得 普 
及 ,所 以 又 称 戴 明 环 。 全 面 质 量 管理 的 思想 基础 和 方法 依据 就 是 PDCA 循环 。PDCA 循环 
的 含义 是 将 质量 管理 分 为 4 个 阶段 , 即 计 划 (plan) ,执行 (do) 检查 (check) ,行动 (action)。 
在 质量 管理 活动 中 ,要 求 把 各 项 工作 按照 做 出 计划 、 计 划 实 施 、 检 查实 施 效果 ,然后 将 成 功 的 
纳入 标准 ,不 成 功 的 留待 下 一 循环 去 解决 。 这 一 工作 方法 是 质量 管理 的 基本 方法 ,也 是 企业 
管理 各 项 工作 的 一 般 规 律 。PDCA 过 程 模型 如 图 6-9 所 示 。 


计划 


建立 ISMS 上 下 关 
系 和 风险 评估 


NA 有 利益 关系 


设计 和 | 开发 、 维 护 [- | 
和 改进 循环 【改过 ISMS | 行动 
管理 后 芯 
a 〉》 op 
ISMS i 
检查 


6-9 PDCA 过 程 模型 


有 利益 关系 


执行 


要 求 和 期 望 起 


1. 计划 一 一 对 组 织 的 信息 安全 进行 总 体 规划 

建立 ISMS 的 结构 关系 ,提出 信息 安全 目标 、 方 针 和 策略 。 其 中 ,安全 目标 是 一 个 满足 
组 织 对 信息 系统 安全 要 求 的 指标 体系 ; 安全 方针 是 达到 安全 目标 的 方法 和 途径 ; 安全 策略 
是 实现 安全 目标 的 一 系列 规则 和 指令 。 

2. 执行 一 一 设计 和 实施 ISMS 

对 实现 信息 安全 目标 所 需 的 过 程 程序 进行 设计 和 工程 实现 。 

3. 检查 一 一 监控 和 评审 ISMS 

采用 上 自动 工具 和 人 工 检 测 结合 的 方法 ,根据 安全 目标 方针、 策略 和 运行 实践 情况 对 
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过 程 程序 的 安全 性 能 进行 监控 和 评审 ,并 给 出 与 安全 要 求 指 标 是 否 符合 的 定量 或 定性 的 
结论 。 

4. 行动 一 一 改进 ISMS 

改进 过 程 程序 的 安全 性 能 ,使 之 符合 安全 规划 中 提出 的 安全 要 求 指标 。 


6.3 基于 PDCA 的 信息 安全 管理 实践 


以 上 提 到 的 几 种 信息 安全 管理 模型 部 是 从 不 同 角 度 或 根据 不 同 应 用 领域 的 需要 设计 
的 ,都 有 一 定 的 参考 价值 ,对 于 理解 和 认识 信息 安全 管理 可 以 起 到 “敲门砖 ”的 作用 。 在 面 对 
具体 的 信息 安全 管理 问题 时 ,建议 读者 不 要 盲目 套用 ,而 应 自己 用 信息 安全 管理 理论 和 方法 
设计 符合 实际 需要 的 信息 安全 管理 模型 。 

本 节 主 要 根据 PDCA 安全 模型 的 一 些 参 考 对 一 个 简单 的 网 络 售票 系统 的 信息 安全 管 
理 过 程 做 一 些 分 析 与 探讨 。 


6.3.1 背景 分 析 


当今 社会 信息 技术 飞速 发 展 , 人 们 的 生活 越 来 越 多 地 依靠 网 络 。 网 络 售票 系统 出 现 之 
后 大 大 方便 了 人 们 的 出 行 , 其 信息 安全 管理 也 成 了 一 个 需要 考虑 和 研究 的 问题 。 该 分 析 主 
要 针对 一 个 网 络 售 票 系统 的 信息 安全 管理 ,根据 PDCA 安全 管理 模型 ,提出 该 系统 信息 安 
全 管理 的 方案 。 该 网 络 售票 系统 包括 一 个 售票 服务 需 .一 个 数据 库 ,以 及 客户 端 。 主 要 进行 
的 业务 是 客户 通过 客户 端 注 册 信 息 ,通过 网 络 购买 火车 票 。 
6.3.2 前 期 分 析 

1. 安全 需求 分 析 

1) 信息 安全 范围 需求 

确保 整个 系统 运行 的 信息 安全 ,主要 涉及 以 下 几 方 面 。 

(1) 信息 ,包括 用 户 数据 .通信 数据 .票务 数据 等 。 

(2) 硬件 、 软 件 。 

(3) 人 员 管 理 。 

2) 信息 安全 优先 级 需求 

信息 安全 优先 级 从 高 到 低 的 顺序 依次 是 关键 岗位 人 员 关键 信息 、 人 硬件 .软件 。 

考虑 的 原因 : 关键 册 位 人 员 擎 握 着 核心 信息 ,这 一 部 分 可 能 对 于 安全 造成 毁灭 性 的 影 
响 ; 关键 信息 ,如 系统 的 管理 员 密 码 、 密 钥 等 ,对 整个 系统 的 数据 安全 有 很 大 影响 ; 硬件 的 
损坏 对 系统 的 安全 也 有 较 大 影响 ; 相对 于 其 他 几 个 ,系统 的 软件 对 于 整个 系统 的 影响 稍 小 。 

2. 潜在 风险 分 析 

1) 内 部 风险 

关键 人 员 对 于 上 自己 掌握 的 关键 信息 的 泄露 ,使 得 购 票 系统 信息 的 安全 处 于 危险 之 中 。 
例如 ,通信 密 钥 的 泄露 导致 加 密 信息 丧失 机 密 性 ; 硬件 的 损坏 导致 系统 前 盘 或 信息 丢失 。 
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2) 外 部 风险 

来 自 外 部 的 攻击 ,侵入 系统 获取 用 户 信 息 、 票 务 信息 或 对 信息 进行 破坏 ; 系统 人 员 操 作 
失误 导致 信息 丢失 ; 用 户 客户 端 与 服务 器 端 通信 过 程 中 通信 信息 的 泄露 。 

6.3.3 PDCA 实施 

1. 计划 

1) 数据 安全 

主要 是 计划 保护 数据 信息 的 机 密 性 、 完 整 性 、 可 用 性 , 即 信 息 安全 中 的 CIA 性 质 。 

(1) 数据 库 数 据 。 由 于 是 火车 票 的 售票 系统 ,用 户 数据 包括 用 户 的 实名 制 信息 , 以 及 其 
他 敏感 的 个 人 信息 , 票 券 信息 都 保存 在 数据 库 中 ,需要 保证 其 机 密 性 ,所 以 应 将 数据 库 中 的 
信息 进行 加 密 保 存 ,并且 保证 数据 库 的 安全 ,防止 SQL 注入 攻击 。 

数据 库 信 息 量 比较 大 ,采用 非 对 称 密码 进行 加 密 , 虽 然 安 全 ,但 是 加 密 速 度 很 慢 。 由 于 
是 网 络 售票 系统 ,许多 信息 需要 及 时 处 理 , 这 时 可 能 需要 提取 数据 库 的 信息 ,如 果 加 解密 速 
度 过 慢 ,可 能 导致 系统 啊 应 时 间 过 长 ,不 符合 实际 实施 。 因 此 使 用 对 称 加 密 的 方式 ,实施 时 
使 用 的 加 密 算法 为 DES(Data Encryption Standard, 数 据 加 密 标 准 ) 算 法 。 它 是 一 种 使 用 密 
钥 加 密 的 算法 ,安全 性 较 好 , 且 加 密 速 度 比 较 快 ,能 够 很 好 地 满足 需求 。 

数据 库 安 全 的 保证 主要 通过 设置 数据 库 的 登录 验证 口令 ,编写 数据 库 时 规范 数据 库 语 
句 , 查 询 时 使 用 存储 过 程 , 进 行 输入 验证 等 来 防止 SQL 注入 攻击 。 关 键 的 数据 库 口令 管理 
员 登 录 口 令 等 要 求 一 定 长 度 ,并 按 一 定 的 期 限 进行 更 换 。 

(2) 通信 数据 安全 。 用 户 与 服务 需 进 行 购 票 通 信 过 程 中 ,可 能 会 发 送 重 要 的 个 人 信息 ， 
在 支付 过 程 中 ,可 能 要 交换 银行 卡 信息 ,所 以 需要 保护 其 机 密 性 ,需要 通过 安全 的 通信 信道 
传输 ,另外 数据 通信 要 保证 其 完整 性 ,所 以 使 用 消息 校 验 。 

用 户 通信 数据 安全 主要 利用 SSL 协议 提供 的 安全 通信 信道 。SSL 协议 是 为 网 络 通 信 
提供 安全 及 数据 完整 性 的 一 种 安全 协议 ,通信 双方 通过 协商 的 加 密 密 钥 对 通信 信道 进行 加 
密 ,在 加 密 的 通信 信道 上 进行 信息 的 传输 ,保证 信息 机 密 。 信 息 的 完整 性 则 通过 哈 希 算法 来 
实现 ,通过 比 对 信息 的 哈 布 值 , 确 认 信息 的 完整 性 。 

(3) 数据 备份 与 恢复 。 这 个 主要 考虑 的 是 数据 的 可 用 性 。 有 了 时 可 能 发 生 异 和 常 造成 数据 
的 损坏 、 丢失 ,通过 备份 的 数据 来 保证 信息 的 可 用 性 。 这 里 主要 是 建立 一 个 备份 数据 库 , 以 
便 在 需要 时 进行 数据 恢复 。 

2) 人 员 管 理 

制定 相关 的 一 套 规定 来 对 人 员 进 行 管理 ,并 严格 按照 规定 执行 ,保证 人 员 这 一 方面 的 安 
全 ,包括 人 员 的 选择 .培训 等 。 

3) 硬件 安全 

制订 详细 的 硬件 管理 方案 ,合理 管理 和 使 用 硬件 ,及 时 排查 小 故障 和 小 问题 ,保证 硬件 
正常 运行 。 主 要 是 对 便 件 的 备案 与 定期 检查 ,还 可 以 利用 物 联网 技术 进行 监测 。 

4) 防 攻 击 

建立 防火 墙 \ 入 侵 检 测 系 统 , 防 止 一 些 可 能 的 系统 攻击 ,并 建立 有 效 的 入 侵 检 测 机 制 , 及 
时 监视 发 现 系统 的 异常 。 利 用 防火 墙 阻止 可 能 的 攻击 ,利用 入 侵 检 测 系 统 检 测 记 录入 侵 即 
可 能 人 侵 的 行为 ,并 提醒 管理 员 。 
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5) 事故 应 急 

制订 一 个 可 行 的 事故 应 急 方 案 , 当 事故 发 生 时 ,根据 方案 进行 相应 的 应 急 处 理 , 保 证 事 
故 不 会 对 系统 造成 影响 ,同时 也 保证 系统 的 安全 ,不 至 于 造成 损失 。 

事故 按 严重 程度 由 低 到 高 分 为 两 级 : 一 级 事故 如 硬件 普通 故障 .系统 遭 到 攻击 .数据库 
数据 少量 错误 等 ,由 相关 的 管理 人 员 进 行 检查 处 理 即 可 ; 二 级 事故 如 系统 遭 到 入 侵 , 用 户 数 
据 丢 失 ,数据 库 数 据 大 量 泄露 . 丢 失 ,系统 主 密 钥 泄露 关键 口令 泄露 等 , 故 需 要 通知 相关 的 
信息 安全 管理 部 门 进行 处 理 , 寻 找 问 题 ,并 尽快 解决 。 


2. 实施 
这 里 简单 描述 上 述 项 目 在 具体 情境 的 实现 。 
1) 数据 安全 


(1) 数据 库 信息 。 当 一 个 信息 写 入 数据 库 时 ,使 用 系统 主 密 钥 进行 加 密 。 当 然 不 是 对 
所 有 信息 进行 加 密 , 只 对 重要 信息 进行 加 密 , 如 用 户 信 息 、 密 码 信 息 等 。 当 需要 提取 数据 库 
信息 进行 使 用 时 ,系统 利用 主 密 钥 解密 信息 ,再 进行 正常 使 用 。 数 据 库 管 理 员 需 要 使 用 口令 
进行 登录 ,使 用 的 口令 到 期 则 须 重 换 。 

(2) 通信 数据 。 服 务 需 与 用 户 进行 交互 ,首先 进行 会 话 ,建立 起 SSL 安全 信道 ,利用 密 
钥 进 行 加 密 , 然 后 用 户 与 服务 器 进行 通信 。 

(3) 数据 备份 与 恢复 。 每 次 数据 写 人 数据 库 时 ,同时 也 写 人 一 份 到 备份 数据 库 。 当 检 
测 数 据 时 发 现 数 据 损坏 , 则 从 备份 数据 库 重 新 读 入 数据 。 当 发 生 数 据 大 量 流失 时 ,应 使 用 备 
份 数据 库 数 据 。 

2) 人 员 管 理 

右 一 个 人 员 作 为 系统 管理 员 上 六 , 则 对 其 进行 培训 ,一 方面 保证 其 能 够 正确 操作 , 另 一 
方面 也 对 其 进行 保密 教育 ; 在 职 时 期 ,对 其 进行 监管 ,要 求 其 严格 遵守 规定 ; 当 这 个 管理 员 
离职 时 ,上 青 进 行 离 职 培训 ,进行 一 些 保 密 协定 。 离 职 后 处 理 其 账号 ,注销 或 更 改 信 息 。 

3) 便 件 安全 

专门 的 便 件 工作 部 门 定期 对 系统 便 件 进行 检查 记录 ,每 次 检查 进行 小 故障 的 排 际 并 备 
案 。 例 如 ,检查 员 发 现 了 一 处 电路 线路 老化 ,应 及 时 进行 修复 并 且 备 案 。 

4) 防 攻击 

当 有 人 问 售 票 系统 发 起 攻击 时 ,防火 墙 阻止 其 入 侵 行 为 ,入 侵 检 测 系统 则 记录 该 行为 ， 
提醒 管理 员 检 查 系 统 。 

3. 检查 

这 一 阶段 主要 是 对 前 一 阶段 的 实施 进行 检查 ,以 发 现 问 题 。 评 估 小 组 使 用 一 些 方法 对 
系统 进行 检测 ,如 使 用 问题 记录 、 情 景 模 拟 渗透 测试 等 。 问 题记 录 是 对 出 现 的 问题 进行 记 
录 , 如 果 同 一 个 问题 频 楷 出 现 , 则 需要 引起 警觉 ; 情景 模拟 是 通过 对 相应 情景 的 设想 进行 分 
析 讨 论 与 验证 ,去 发 现 问 题 ; 渗透 测试 是 聘请 专业 的 团队 ,对 系统 进行 攻击 和 检测 ,以 获取 
可 能 存在 的 未 知 漏洞 ,即使 用 攻击 来 检验 防守 的 原理 ,但 在 进行 时 要 注意 不 能 对 系统 的 正常 
功能 造成 影 啊 ,或 给 系统 造成 不 可 挽回 的 损失 。 

通过 对 前 一 过 程 的 检查 发 现 数据 通信 中 的 问题 。 购 买 火车 票 是 一 个 实名 制 的 过 程 , 没 
有 进行 身份 验证 ,用 户 可 能 会 被 假冒 ,从 而 给 用 户 和 服务 商都 带 来 损失 。 男 外 通信 加 密 密 钥 


112 信息 安全 工程 


的 交换 不 安全 , 密 钥 可 能 会 被 截获 ; 密 钥 的 安全 管理 也 没有 考虑 。 这 些 问题 都 有 可 能 在 实 
际 过 程 中 造成 信息 泄露 。 

4. 行动 

这 一 阶段 主要 是 对 前 一 阶段 发 现 的 问题 进行 解决 ,如 果 不 能 解决 则 加 入 下 一 次 PDCA 
循环 。 

针对 发 现 的 问题 ,在 用 户 通信 过 程 中 要 添加 一 个 非 对 称 密 码 算法 来 用 作 身 份 认证 。 非 
对 称 密码 的 特性 使 其 有 独特 的 身份 认证 优势 。RSA 算法 是 非 对 称 密码 的 代表 ,是 基于 大 整 
数 分 解 的 数学 难题 ,具有 很 好 的 安全 性 。 服 务 硕 用 目 己 的 私 钥 加 密 一 个 时 间 信 息 发 给 客户 
端 用 户 ,客户 端 使 用 公 钥 进行 解密 ,由 于 公 钾 来自 于 可 信 的 第 三 方 机 构 , 解 密 成 功 则 客户 端 
验证 服务 器 身份 成 功 ; 服务 需 端 对 客户 端的 验证 则 是 用 户 使 用 自己 的 私 钥 加 密 时 间 信 息 发 
给 服务 器 端 ,服务 需 端 用 公 钥 解密 验证 。 另 外 , 非 对 称 密码 的 引入 也 方便 了 密 钥 交换 。 而 密 
钥 管 理 则 是 引入 一 个 密 钥 管理 中 心 来 解决 ,该 中 心 负责 密 钥 的 保护 与 管理 。 


6.4 小 结 


“ 墙 漏 洞 做 高 墙 \ 防 外 攻 " 是 长 期 以 来 网 络 信息 安全 的 基本 状况 。 当 人 们 讨论 网 络 信 息 
安全 的 时 候 , 往 往 只 关心 黑客 和 操作 系统 的 漏洞 ,尽管 它们 是 安全 的 重要 部 分 ,但 只 是 安全 
广义 概念 上 的 两 个 组 件 而 已 。 

保障 信息 安全 有 3 个 路 径 : 技术 ,管理 ,法律 法 规 。 而 日 党 提 及 信息 安全 时 ,更 多 是 在 
与 技术 相关 的 领域 ,例如 入 侵 检 测 技 术 、 防 火 墙 技 术 、 防 病毒 技术 、 加 密 技术 、CA 认证 技术 
等 。 这 是 因为 信息 安全 技术 和 产品 的 采纳 ,能 够 快速 见 到 直接 效益 。 

信息 安全 作为 一 个 动态 发 展 的 过 程 , 已 经 成 为 一 项 系统 化 的 工程 。 每 个 信息 系统 及 网 
络 环境 部 有 一 定 程 度 的 漏洞 和 风险 , 仅 从 纯粹 的 技术 并 仅仅 依赖 于 安全 产品 的 堆积 来 应 对 
迅速 发 展 变 化 的 各 种 攻击 手段 是 不 能 持续 有 效 的 ,绝对 的 信息 安全 是 不 存在 的 。 人 们 总 在 
反思 自 号 技术 的 不 足 , 而 却 忽 视 了 男 外 两 个 层面 一 一 管理 和 法 律 法 规 上 的 保障 。 应 该 从 信 
息 安全 决策 管理 ,风险 管理 ,安全 末 略 管理 及 应 急 服务 等 方面 探讨 提升 信息 安全 管理 的 水 
平 , 从 而 提高 对 信息 安全 的 保障 。 


站 十 


1. 什么 是 信息 安全 管理 ? 

2. 什么 是 信息 安全 管理 体系 ? 

3. 简 述 PDCA 模型 。 

4. 请 阐述 主要 的 信息 安全 管理 模型 。 


第 7 和 芋 安全 层次 划分 


本 章 学 习 目 标 : 

。 了 解 安全 层次 的 概念 。 

。 了 解 并 掌握 各 个 层面 上 的 安全 解决 方案 。 

安全 体系 的 建设 涉及 安全 的 各 个 层面 , 通 第 应 该 从 应 用 安全 、 系 统 安全 、 网 络 安全 、 安 全 
协议 及 安全 的 密码 算法 等 方面 来 寻求 解决 方案 。 


7.1 安全 的 密码 算法 


7.1.1 密码 算法 安全 性 概述 


加 密 技 术 是 对 信息 进行 编码 和 解码 的 技术 。 编 码 是 把 原来 的 可 读 信 息 ( 又 称 明 文 ) 译 成 
代码 形式 (又 称 密 文 ) ,其 逆 过 程 就 是 解码 (解密 )。 加 密 技 术 的 要 点 是 加 密 算法 。 加 密 算法 
可 以 分 为 对 称 加 密 . 非 对 称 加 密 和 不 可 逆 加 密 3 类 算法 。 

理论 上 大 部 分 的 算法 基本 上 都 是 可 以 破解 的 ,只 是 需要 很 多 台 计 算 机 并 行 运算 很 长 时 
间 才 能 破解 。 密 钥 越 长 ,需要 耗费 的 资源 越 多 ,以 此 来 提高 破解 的 成 本 ,由 于 成 本 过 高 导致 
不 进行 攻击 或 采用 旁 道 攻击 。 同 时 密 钥 越 长 ,加 解密 的 成 本 也 会 随 之 提高 ,所 以 可 以 根据 信 
息 的 价值 和 保密 要 求 来 选择 合适 的 算法 。 

常用 的 安全 加 密 算 法 如 下 所 述 。 

(1) DES(Data Encryption Standard, 数 据 加 密 标 准 ): 对 称 算 法 ,速度 较 快 ,适用 于 加 密 
大 量 数据 的 场合 。 

(2) 3DES(Triple DES,3 重 DES): 是 基于 DES 的 对 称 算法 ,对 一 块 数据 用 3 个 不 同 的 
密 钥 进行 3 次 加 密 , 强 度 更 高 。 

(3) RC2 和 RC4: 对 称 算 法 ,用 变 长 密 钥 对 大 量 数据 进行 加 密 , 比 DES 快 。 

(4) IDEA(International Data Encryption Algorithm ,国际 数据 加 密 算 法 ): 使 用 128 位 
密 钥 提供 非常 强 的 安全 性 。 

(5) AES(Advanced Encryption Standard ,高 级 加 密 标 准 ): 属于 对 称 算法 ,是 下 一 代 加 
密 算 法 标准 ,速度 快 ,安全 级 别 高 ,现在 AES 的 一 个 实现 是 Rijndael 算法 。 

(6) RSA: 由 RSA 公司 发 明 , 是 一 个 支持 变 长 密 钥 的 公共 密 钥 算法 ,需要 加 密 的 文件 
块 的 长 度 也 是 可 变 的 ,属于 非 对 称 算法 。 

(7) DSA(Digital Signature Algorithm ,数字 签名 算法 ): 是 一 种 标准 的 DSS( 数 字 签 名 
标准 ) ,严格 来 说 不 算 加 密 算 法 。 

(8) BLOWFISH: 使 用 变 长 的 密 钥 ,长 度 可 达 448 位 ,运行 速度 很 快 。 

(9) MD5 : 严格 来 说 不 算 加 密 算法 ,只 能 说 是 摘要 算法 。MD5 以 512 位 分 组 来 处 理 输 
入 的 信息 , 且 每 一 分 组 又 被 划分 为 16 个 32 位 子 分 组 ,经 过 了 一 系列 的 处 理 后 ,算法 的 输出 
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由 4 个 32 位 分 组 组 成 ,将 这 4 个 32 位 分 组 级 联 后 将 生成 一 个 128 位 散 列 值 。 

(10) PKCS(The Public-Key Cryptography Standards) : 是 由 美国 RSA 数据 安全 公司 
及 其 合作 伙伴 制定 的 一 组 公 钥 密码 学 标准 ,其 中 包括 证 书 申 请 、 证 书 更 新 .证 书 作 废 表 发 布 、 
扩展 证 书 内 容 以 及 数字 签名 数字 信封 的 格式 等 方面 的 一 系列 相关 协议 。 

(11) SSF33、SSF28、SCB2(SM1): 国家 密码 局 的 隐蔽 不 公开 的 商用 算法 ,在 国内 的 民 
用 和 商用 中 , 除 这 些 不 允许 使 用 外 ,其 他 的 都 可 以 使 用 。 

(12) 其 他 算法 : ElGamal、Diffie-Hellman、 新 型 椭圆 曲线 算法 ECC 等 。 

加 密 算法 的 安全 级 别 如 表 7-1 所 示 。 


表 7-1 加 密 算法 的 安全 级 别 


安全 级 别 算法 复杂 度 算 法 


薄弱 (weak) DES, MD5 

传统 (tradition) RC4, SHA-1 

基准 (baseline) 3DES 

标准 (standard) AES-128, SHA-256 
较 高 (high) AES-192, SHA-384 
超 高 (ultra) AES-256, SHA-512 


7.1.2 对 称 加 密 算法 


对 称 加 密 算法 是 应 用 较 早 的 加 密 算 法 ,技术 成 熟 。 在 对 称 加 密 算法 中 ,数据 发 信 方 将 明 
文 (原始 数 据 ) 和 加 密 密 钥 一 起 经 过 特殊 加 密 算法 处 理 后 ,使 其 变 成 复杂 的 加 密 密 文 发 送出 
去 。 收 信 方 收 到 密 文 后 , 若 想 解读 原文 , 则 需要 使 用 加 密 用 过 的 密 钥 及 相同 算法 的 逆 算 法 对 
密 文 进行 解密 ,才能 使 其 恢复 成 可 读 明文 。 在 对 称 加 密 算 法 中 ,使 用 的 密 钥 只 有 一 个 ,发 , 收 
信和 双方 都 使 用 这 个 密 钥 对 数据 进行 加 密 和 人 解密 ,这 就 要 求解 密 方 事先 必须 知道 加 密 密 钥 。 

对 称 加 密 算法 的 特点 是 算法 公开 、 计 算 量 小 、 加 密 速 度 快 、. 加 密 效 率 高 。 不 足 之 处 是 交 
易 双 方 都 使 用 同样 的 密 钥 ,安全 性 得 不 到 保证 。 此 外 ,每 对 用 户 每 次 使 用 对 称 加 密 算 法 时 ， 
都 需要 使 用 其 他 人 不 知道 的 唯一 密 钥 ,这 会 使 得 发 \ 收 信 双 方 所 拥有 的 钥 是 数量 呈 几 何 级 数 
增长 , 密 钥 管理 成 为 用 户 的 负担 。 对 称 加 密 算法 在 分 布 式 网 络 系 统 上 使 用 较为 困难 ,主要 是 
因为 密 钥 管理 困难 ,使 用 成 本 较 高 。 在 计算 机 专 网 系统 中 广泛 使 用 的 对 称 加 密 算法 有 
DES、3DES、AES 和 IDEA 等 。 美 国 国家 标准 局 倡导 的 AES 已 作为 新 标准 取代 DES。 

对 称 密码 系统 的 安全 性 依赖 于 两 个 因素 : 第 一 ,加 密 算 法 必须 是 足够 强 的 ,仅仅 基于 本 
号 去 解密 信息 在 实践 上 是 不 可 行 的 ; 第 二 ,加 密 方法 的 安全 性 依赖 于 密 钥 的 秘密 性 。 因 此 ， 
没有 必要 确保 算法 的 秘密 性 ,而 需要 保证 密 钥 的 秘密 性 。 对 称 加 密 系 统 最 大 的 问题 是 密 钥 
的 分 发 和 管理 非常 复杂 ,代价 高 昂 。 在 用 户 群 不 是 很 大 的 情况 下 ,对称 加 密 系 统 是 有 效 的 ， 
但 是 对 于 大 型 网 络 , 当 用 户 群 很 大 、 分 布 很 广 时 , 密 钥 的 分 配 和 保存 就 成 了 大 问题 。 对 称 加 
密 算 法 的 另 一 个 缺点 是 不 能 实现 数字 签名 。 


7.1.3 非 对 称 加 密 算 法 
非 对 称 加 密 算 法 又 叫 公 开 密 钥 算 法 (public key algorithm) 。 非 对 称 加 密 算 法 使 用 完全 
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不 同 但 又 完全 匹配 的 一 对 密 钥 , 即 公 钥 和 私 钥 。 在 使 用 非 对 称 加 密 算法 加 密 文 件 时 ,只 有 使 
用 匹配 的 一 对 公 钥 和 私 钥 ,才能 完成 对 明文 的 加 密 和 解密 过 程 。 加 密 明 文 时 采用 公 钥 加 密 ， 
解密 密 文 时 使 用 私 钥 才 能 完成 ,而 且 发 信 方 (加 密 者 ) 知 道 收 信 方 的 公 钥 ,只 有 收 信 方 (解密 
者 ) 才 是 唯一 知道 自己 私 钥 的 人 。 

非 对 称 加 密 算 法 的 基本 原理 是 : 如 果 发 信 方 想 发 送 只 有 收 信 方才 能 解读 的 加 密 信息 ， 
发 信 方 必须 首先 知道 收 信 方 的 公 钥 ,然后 利用 收 信 方 的 公 钥 来 加 密 原文 ; 收 信 方 收 到 加 密 
密 文 后 ,使 用 自己 的 私 钥 才能 解密 密 文 。 显 然 , 采 用 非 对 称 加 密 算 法 ,收发 信 双 方 在 通信 之 
前 , 收 信 方 必须 将 自己 早已 随机 生成 的 公 钥 送 给 发 信 方 ,而 自己 保留 私 铀 。 由 于 非 对 称 算法 
拥有 两 个 密 钥 ,因而 特别 适用 于 分 布 式 系统 中 的 数据 加 密 。 广 泛 应 用 的 非 对 称 加 密 算法 是 
RSA 算法 和 美国 国家 标准 局 提出 的 DSA 以 及 ECC、DH 等 算法 。 

表 7-2 给 出 了 常用 非 对 称 加 密 算 法 的 安全 性 对 比 。 可 以 看 出 ,ECC 算法 抗 攻击 能 力 强 、 
计算 量 小 、 处 理 速 度 快 . 存 储 空 间 小 、 带 宽 要 求 低 ,这 使 得 ECC 在 无 线 通信 安全 、IC 卡 数据 
加 密 等 领域 广泛 应 用 。 然 而 ,由 于 非 对 称 算法 本 身 的 复杂 性 ,使 得 其 对 大 数据 加 解密 的 适用 
性 不 强 , 所 以 非 对 称 算法 常 与 对 称 加 密 算法 结合 使 用 , 即 利 用 非 对 称 算法 对 对 称 算法 的 密 钥 
进行 加 密 传输 。 

表 7-2 非 对 称 加 密 算法 安全 性 对 比 


攻破 时 间 密 钥 长 度 / 位 密 钥 长 度 比 
ni SA 


10” 768 132 6 : 


] 
1 


注 : 1MIPS 年 是 1MIPS 的 机 器 一 年 所 能 处 理 的 数据 量 ,如 表 中 的 10 000MIPS 年, 即 表 示 处 理 速 度 为 10 000MIPS 
的 CPU 需要 1 年 才能 攻破 。 


7.1.4 不 可 逆 加 密 算法 


不 可 逆 加 密 算 法 的 特征 是 加 密 过 程 中 不 需要 使 用 密 钥 ,输入 明文 后 由 系统 直接 经 过 加 
密 算 法 处 理 成 密 文 ,这 种 加 密 后 的 数据 是 无 法 被 解密 的 ,只 有 重新 输入 明文 ,并 再 次 经 过 同 
样 不 可 逆 的 加 密 算 法 处 理 , 得 到 相同 的 加 密 密 文 并 被 系统 重新 识别 后 才能 真正 解密 。 显 然 ， 
在 这 类 加 密 过 程 中 ,加 密 是 自己 ,解密 还 是 自己 ,而 所 谓 解密 ,实际 上 就 是 重新 加 一 次 密 , 所 
应 用 的 "密码 ?也 就 是 输入 的 明文 。 不 可 逆 加 密 算 法 不 存在 密 钥 保管 和 分 发 问题 , 非 贡 适合 
在 分 布 式 网 络 系统 上 使 用 ,但 因 加 密 计算 复杂 工作 量 相 当 和 繁重 ,通常 只 在 数据 量 有 限 的 情 
形 下 使 用 ,如 广泛 应 用 在 计算 机 系统 中 的 口令 加 密 , 利 用 的 就 是 不 可 逆 加 密 算 法 。 近 年 来 ， 
随 着 计算 机 系统 性 能 的 不 断 提 高 ,不 可 逆 加 密 的 应 用 领域 正在 逐渐 增 大 。 在 计算 机 网 络 中 
应 用 较 多 不 可 道 加 密 算 法 的 有 RSA 公司 发 明 的 MD5 算法 和 由 美国 国家 标准 局 建议 的 不 
可 逆 加 密 标 准 SHS(Secure Hash Standard, 安 全 散 列 标准 ) 等 。 
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安全 协议 是 以 密码 学 为 基础 的 消息 交换 协议 ,其 目的 是 在 网 络 环境 中 提供 各 种 安全 服 
务 。 密 码 学 是 网 络 安全 的 基础 ,但 网 络 安全 不 能 单纯 依靠 安全 的 密码 算法 。 安 全 协议 是 网 
络 安全 的 一 个 重要 组 成 部 分 。 网 络 安全 需要 通过 安全 协议 进行 实体 之 间 的 认证 、 在 实体 之 
间 安 全 地 分 配 密 钥 或 其 他 各 种 秘密 、 确 认 发 送 和 接收 的 消息 的 非 否认 性 等 。 

下 面 介 绍 各 类 有 代表 性 的 安全 性 协议 ,它们 的 目的 是 保护 网 络 各 层 的 安全 ,并 提供 实现 
保密 、 认 证 和 完整 性 的 方法 。 


7.2.1 安全 套 接 层 协议 


安全 套 接 层 (Secure Socket Layer,SSL) 协 议 是 由 Netscape 公司 设计 的 一 种 开放 协议 。 
它 指定 了 一 种 在 应 用 程序 协议 (例如 HTTP、Telnet.NNTP 或 FIP 和 TCP/IP) 之 间 提 供 数 
据 安全 性 分 层 的 机 制 。 它 是 在 传输 通信 协议 (TCP/IP) 上 实现 的 一 种 安全 协议 ,采用 公开 密 钥 
技术 。 它 为 TCP/IP 连接 提供 数据 加 密 、 服 务 咒 认证 消息 完整 性 以 及 可 选 的 客户 机 认证 。 

SSL 由 两 层 组 成 :一 层 是 SSL 记录 层 , 用 于 封装 不 同 的 上 层 协议 ; 另 一 层 是 被 封装 的 协 
议 , 即 SSL 握手 协议 , 它 可 以 让 服务 器 和 客户 机 在 传输 应 用 数据 之 前 协商 加 密 算 法 和 加 密 
密 钥 。 客 户 机 提出 自己 能 够 支持 的 全 部 加 密 算 法 ,服务 器 可 选择 最 适合 它 的 算法 。 

SSL 协议 通过 在 应 用 程序 进行 数据 交换 之 前 交换 SSL 初始 握手 信息 来 实现 有 关 安 全 
性 的 审查 。 在 SSL 握手 信息 中 ,采用 了 DES、MD5 等 加 密 技 术 来 实现 机 密 性 和 数据 完整 
性 ,并 采用 X. 509 数字 证 书 实现 认证 。 数 字 证 书 是 用 于 验证 信息 传输 出 各 方 身份 的 有 效 证 
明 ,同时 也 用 于 加 密 数 据 , 防 止 抵赖 和 算 改 。 它 通过 证 书 验 证 和 授权 机 构 将 证 书 持 有 人 及 其 
公开 密 钥 的 签名 有 效 地 关联 。 

SSL 协议 的 目标 是 提供 两 个 应 用 程序 间 的 通信 保密 性 、 可 靠 性 。 为 了 验证 数字 证 书 持 
有 者 是 否 是 合法 的 用 户 ,SSL 要 求 数字 证 书 持 有 者 在 握手 时 交换 数据 ,进行 数字 式 标 识 。 
数字 证 书 持 有 者 对 包括 证 书 的 所 有 信息 进行 标识 ,以 说 明 自 己 是 证 书 的 合法 拥有 者 ,防止 其 
他 用 户 冒 名 使 用 证 书 。 

SSL 协议 提供 了 3 种 标准 服务 , 即 信息 保密 信息 完整 性 和 双向 认证 。SSL 协议 提供 的 
3 种 标准 服务 如 表 7-3 所 示 。 


表 7-3 SSL 协议 提供 的 3 种 标准 服务 


信息 保密 防止 窃听 

信息 完整 性 信息 认证 编码 防止 破坏 

双向 验证 防止 欺骗 
1. 信息 保密 


通过 使 用 公开 密 钥 和 对 称 密 钥 技 术 达 到 信息 保密 。 对 称 密 钥 算 法 的 速度 要 比 公 开 密 钥 
算法 的 速度 快 。 在 SSL 协议 中 利用 了 这 两 种 加 密 算 法 , 既 提 供 了 保密 性 ,又 提高 了 通信 效 
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率 。 发 送 方 执行 的 步骤 如 下 。 

(1) 产生 一 个 随机 数 作 为 对 称 密 钥 ,接着 用 它 对 待 发 送 的 明文 信息 进行 加 密 。 

(2) 用 接收 方 的 公开 密 钥 对 该 随机 数 进行 加 密 。 

(3) 用 自己 的 私有 密 钥 对 随机 数 进行 解密 。 

(4) 再 用 随机 数 对 信息 进行 解密 。 

SSL 客户 机 和 SSL 服务 需 之 间 的 所 有 业务 , 均 使 用 在 握手 过 程 中 建立 的 密 钥 和 算法 进 
行 加 密 。 这 样 ,就 可 以 防止 某 些 用 户 通 过 使 用 Sniffer 工具 进行 非法 窃听 。 

2. 信息 完整 性 

SSL 协议 利用 机 密 共 享 和 散 列 函数 组 提供 信息 完整 性 服务 。 

3. 双 回 认证 

客户 机 与 服务 器 相互 识别 ,它们 的 标识 号 用 公开 密 钥 编码 ,并 在 SSL 握手 时 交换 各 自 
的 标识 号 。 


7.2.2 传输 层 安全 协议 


传输 层 安 全 (Transport Layer Security, TLS) 协 议 是 Internet 工程 特别 任务 组 (Internet 
Engineering Task Force,IETF) 定 义 的 一 种 新 的 协议 。 它 建立 在 Netscape 所 提出 的 SSL 
3.0 协议 规范 基础 之 上 ,是 SSL 3.0 协议 的 后 续 版 本 。 在 传输 层 上 ,TLS 协议 在 源 和 目的 实 
体 间 建 立 了 一 条 安全 通道 ,提供 基于 证 书 的 认证 \ 信 息 完 整 性 和 数据 保密 性 。 对 于 用 于 传输 
层 安全 性 的 标准 协议 ,整个 行业 好 像 都 正在 朝 着 TLS 协议 的 方 品 发 展 。 在 TLS 协议 和 
SSL 3.0 协议 之 间 存 在 着 显 普 的 差别 (主要 是 它们 所 文 持 的 加 密 算法 不 同 ), 所 以 TLS 1.0 
协议 和 SSL 3. 0 协议 不 能 互 操 作 。 

TLS 协议 由 两 层 组 成 : TLS 记录 (TLS Record) 协 议和 TLS 握手 (TLS Handshake) 协 
议 。 较 低 的 层 为 TLS 记录 协议 ,位 于 某 个 可 靠 的 传输 协议 (如 TCP) 上 面 。 

TLS 记录 协议 是 一 种 分 层 协议 。 每 一 层 中 的 信息 可 能 包含 长 度 、 描 述 和 内 容 等 字段 。 
TLS 记录 协议 支持 信息 传输 ,将 数据 分 段 到 可 处 理 块 . 压 缩 数据 .应 用 MAC、 加 密 以 及 传输 
结果 等 ,对 接收 到 的 数据 进行 解密 、 校 验 、 解 压缩 、 重 组 等 ,然后 将 它们 传送 到 高 层 客户 机 ，。 

TLS 记录 协议 提供 的 连接 安全 性 具有 两 个 基本 特性 。 

(1) 私有 。 对 称 加 密 用 以 数据 加 密 (DES、RC4 等 ) 。 对 称 加 密 所 产生 的 密 钥 对 每 个 连 
接 都 是 唯一 的 , 且 此 密 钥 基于 另 一 个 协议 (如 握手 协议 ) 协 商 。TLS 记录 协议 也 可 以 不 加 密 
使 用 。 

(2) 可 靠 。 信息 传输 包括 使 用 密 钥 的 MAC 进行 信息 完整 性 检查 。 安 全 散 列 功能 
(SHA、MD5 等 ) 用 于 MAC 计算 。TLS 记录 协议 在 没有 MAC 的 情况 下 也 能 操作 ,但 一 般 
只 能 用 于 这 种 模式 , 即 有 另 一 个 协议 正在 使 用 记录 协议 传输 协商 安全 参数 。 

TLS 握手 协议 由 3 个 子 协议 组 构成 ,允许 服务 器 与 客户 机 在 应 用 程序 协议 传输 和 接收 
其 第 一 个 数据 字 节 前 彼此 之 间 相 互 认 证 ,协商 加 密 算 法 和 加 密 密 钥 。TLS 握手 协议 提供 的 
连接 安全 具有 以 下 3 个 基本 属性 。 

(1) 可 以 使 用 非 对 称 的 或 共享 密 钥 密码 技术 来 认证 对 方 的 身份 。 该 认证 是 可 选 的 ,但 
至 少 需要 一 个 结 点 方 。 
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(2) 共享 加 密 密 钥 的 协商 是 安全 的 。 对 偷 禄 者 来 说 协商 加 密 是 难以 获得 的 。 此 外 ,经 
过 认证 过 的 连接 不 能 获得 加 密 ,即使 是 进入 连接 中 间 的 攻击 者 也 不 能 。 

(3) 协商 是 可 靠 的 。 没 有 经 过 通信 方 成 员 的 检测 ,任何 攻击 者 都 不 能 修改 通信 协商 。 

TLS 的 最 大 优势 就 在 于 TLS 是 独立 于 应 用 协议 的 。 高 层 协议 可 以 透明 地 分 布 在 TLS 
协议 上 面 。 然 而 , TLS 标准 并 没有 规定 应 用 程序 如 何在 TLS 上 增加 安全 性 ; 它 把 如 何 启 
动 TLS 握手 协议 以 及 如 何 解释 交换 的 认证 证 书 的 决定 权 留 给 协议 的 设计 者 和 实施 者 来 
判断 。 


7.2.3 IPSec 协议 


IPSec 协议 是 IETF 于 1998 年 11 月 公布 的 IP 安全 标准 ,其 目标 是 为 IPv4 和 IPv6 提 
供 具有 较 强 互 操 作 能 力 、 高 质量 和 基于 密码 的 安全 。 

IPSec 协议 不 是 一 个 单独 的 协议 , 它 给 出 了 应 用 于 IP 层 上 网 络 数据 安全 的 一 整套 体系 
结构 ,包括 验证 报头 (Authentication Header, AH) 协 议 、 封装 安全 载 何 (Encapsulating 
Security Payload,ESP) 协 议 .因特网 密 钥 交换 (Internet Key Exchange,IKE) 协 议和 用 于 网 
络 认证 及 加 密 的 一 些 算法 等 。IPSec 协议 提供 了 访问 控制 、 无 连接 完整 性 、 数 据 源 鉴别 、 载 
荷 机 密 性 和 有 限 流量 机 密 等 安全 服务 ,弥补 了 由 于 TCP/IP 体系 自身 带 来 的 安全 漏洞 。 

IPSec 协议 规定 了 如 何在 对 等 层 之 间 选 择 安全 协议 .确定 安全 算法 和 密 钥 交换 ,向 上 层 
提供 了 访问 控制 .数据 源 认证 、 数 据 加 密 等 网 络 安全 服务 。 

IPSec 协议 具有 如 下 优点 。 

(1) 过 滤 每 一 个 访问 计算 机 的 数据 包 , 并 可 根据 数据 包 的 源 IP 地 址 、 协 议和 端口 进行 

(2) 对 应 用 程序 完全 透明 ,应 用 程序 无 须 任 何 调整 。 

(3) 提供 3 种 身份 验证 机 制 。 

(4) 对 数据 包 进 行 加 密 , 以 防止 数据 包 在 网 络 传输 中 被 截取 。 

(5) 使 用 散 列 算法 保障 数据 包 在 传输 过 程 中 保持 完整 性 。 

(6) 确保 每 个 IP 数据 包 的 唯一 性 。 

AH 协议 用 来 进行 数据 包 认 证 ,也 就 是 将 每 个 数据 包 中 的 数据 和 一 个 变化 的 数字 签名 
结合 起 来 ,使 得 通信 一 方 确认 发 送 数 据 的 另 一 方 的 身份 ,并 且 确 认 数据 在 传输 过 程 中 没有 被 
稍 改 过 。AH 协议 可 以 证 明 数 据 的 起 源 地 、 保 障 数据 的 完整 性 以 及 防止 相同 数据 包 的 不 断 
重播 。 

ESP 协议 用 来 进行 数据 包 加 密 或 认证 。 使 用 硬件 对 数据 包 中 的 数据 (包括 敏感 的 IP 地 
址 ) 进 行 加 密 , 像 Sniffer 这 样 的 网 络 监听 软件 都 无 法 得 到 任何 有 用 的 信息 。ESP 协议 除了 
具有 AH 协议 的 所 有 功能 之 外 ,还 可 选择 保障 数据 的 机 密 性 ,以 及 为 数据 流 提供 有 限 的 机 
密 性 保障 。 

安全 关联 (Security Association,SA) 协 议定 义 了 在 管理 两 个 结 点 之 间 的 安全 通信 时 使 
用 的 安全 策略 。 安 全 关联 在 双方 能 够 交换 经 过 认证 和 加 密 的 安全 数据 之 前 ,需要 就 使 用 哪 
些 算 法 、 如 何 进 行 密 钥 交换 、 密 钥 需 要 多 长 时 间 进 行 更 改 以 及 如 何 真正 地 交换 密 钥 来 达成 协 
议 。 所 有 这 些 值 都 包含 在 SA 中 ,以 便 在 两 个 结 点 之 间 进 行 安 全 通信 。 

要 成 功 地 部 署 IPSec ,一 个 可 伸缩 的 .自动 的 SA 和 密 钥 管理 方案 是 必 不 可 少 的 。 已 经 


第 7 章 安全 层次 划分 119 


有 多 种 协议 针对 这 些 功 能 进行 了 定义 。 如 ISAKMP( 因 特 网 安全 与 密 钥 管理 协议 ) 定 义 了 
VPN 客户 及 服务 硕 如 何 建立 关联 的 框架 ,使 用 ISAKMP ,双方 可 以 协商 采用 哪 种 加 密 算 
法 、 散 列 算法 、 认 证 机 制 和 密 钥 建立 机 制 来 实现 IPSec 服务 ; OAKLEY 技术 使 用 DH 作为 
协商 共享 值 时 的 基本 机 制 ,但 增加 了 地 址 验证 和 认证 ; 因特网 密 钥 交换 (Internet Key 
Exchange,IKE) 协 议 是 一 种 功能 强大 的 、 灵 活 的 协商 协议 ,使 得 VPN 结 点 之 间 达 成 安全 通 
信 的 协定 ,如 认证 方法 、 加 密 方法 、 所 用 的 密 钥 、 密 钥 的 使 用 期 限 ,并 允许 智能 的 安全 密 钥 
交换 。 

在 一 个 实现 IPSec 的 产品 中 ,IPSec 功能 的 正确 性 完全 依靠 安全 策略 的 正确 制定 与 配 
置 。 传 统 的 方法 是 通过 手工 配置 IPSec 策略 ,这 种 方法 在 大 型 的 分 布 式 网 络 中 存在 效率 低 、 
易 出 错 等 缺点 。 而 一 个 易 出 错 的 策略 将 可 能 导致 通信 的 阻塞 和 严重 的 安全 隐患 ,而 且 即 使 
每 个 安全 域 策 略 的 制定 是 正确 的 ,也 可 能 会 在 不 同 的 安全 域 中 ,由 于 策略 之 间 的 交互 ,出 现 
在 局 部 范围 内 安全 策略 的 多 样 性 ,从 而 造成 端 到 端 间 通 信 的 严重 安全 隐患 。 因 此 ,必须 构建 
一 个 安全 策略 系统 来 系统 地 管理 和 验证 各 种 IPSec 策略 。 

IPSec 策略 由 安全 策略 数据 库 (Security Policy Database,SPD) 加 以 维护 。 在 SPD 中 ， 
每 个 条 目 都 定义 了 要 保护 的 是 什么 通信 、 怎 样 保护 它 , 以 及 和 谁 共 享 这 种 保护 。 对 于 进入 或 
离开 IP 堆栈 的 每 个 包 ,都 必须 检索 SPD ,调查 可 能 的 安全 应 用 。 

对 一 个 SPD 条 目 来 说 , 它 可 能 定义 了 下 述 几 种 行为 : 丢弃 、 绕 过 以 及 应 用 。 其 中 ,丢弃 
表示 不 让 这 个 包 进 入 或 外 出 ; 绕 过 表示 不 对 一 个 外 出 的 包 应 用 安全 服务 ,也 不 指望 对 一 个 
已 进入 的 包 进 行 了 保密 处 理 ; 应 用 是 指 对 外 出 的 包 应 用 安全 服务 ,同时 要 求 对 进入 的 包 已 
应 用 了 安全 服务 。 对 那些 定义 了 应 用 行为 的 SPD 条 目 , 它 们 均 会 指向 一 个 或 一 套 SA ,表示 
要 将 其 应 用 于 数据 包 。 

策略 系统 的 实现 也 是 IPSec VPN 网 关 的 重要 组 成 部 分 。 只 有 基于 策略 的 网 络 系统 , 才 
能 提供 强大 的 安全 机 制 ,才能 对 网 络 内 部 的 所 有 资源 提供 不 同 级 别 的 保护 。 

IPSec 的 基本 架构 定义 了 用 户 能 以 多 大 的 精度 来 设 定 自 己 的 安全 策略 。 这 样 一 来 , 某 
些 通信 便 可 大 而 化 之 ,为 其 设置 某 一 级 的 基本 安全 措施 ; 而 对 其 他 通信 则 可 谨慎 对 待 ,为 其 
应 用 完全 不 同 的 安全 级 别 。 举 个 例子 ,可 在 一 个 网 络 安全 网 关上 制定 IPSec 策略 ,对 在 其 本 
地 保护 的 子 网 与 远程 网 关 的 子 网 间 通 信 的 所 有 数据 ,全 部 采用 DES 加 密 , 并 用 HMAC- 
MD5 进行 验证 ; 男 外 ,从 远程 子 网 发 给 一 个 邮件 服务 器 的 所 有 Telnet 数据 均 用 3DES 进行 
加 密 , 同 时 用 HMAC-SHA 进行 验证 ; 最 后 对 于 需要 加 密 的 ,发 给 男 一 个 服务 器 的 所 有 
Web 通信 数据 , 则 用 IDEA 满足 其 加 密 要 求 ,同时 用 HMAC-RIPEMD 进行 验证 。 

网 络 攻击 者 要 破译 经 过 IPSec 加 密 的 数据 ,即使 不 是 完全 不 可 能 ,也 是 非常 困难 的 。 根 
据 不 同类 别 数据 对 于 保密 需求 的 不 同 ,IPSec 策略 中 有 多 种 等 级 的 安全 强度 可 供 选 择 。 使 
用 IPSec 可 以 显著 地 减少 或 防范 几 种 网 络 攻击 。 

(1) Sniffer。Sniffer 可 以 读 取 数据 包 中 的 任何 信息 ,因此 对 抗 Sniffer, 最 有 效 的 方法 就 
是 对 数据 进行 加 密 。IPSec 的 ESP 协议 通过 对 IP 包 进 行 加 密 来 保证 数据 的 私密 性 。 

(2) 数据 算 改 。IPSec 用 密 钥 为 每 个 IP 包 生 成 一 个 数字 检查 和 ,该 密 钥 为 且 仅 为 数据 
的 发 送 方 和 接收 方 共 享 。 对 数据 包 的 任何 自 改 ,都 会 改变 检查 和 ,从 而 可 以 让 接收 方 得 知 包 
在 传输 过 程 中 遭 到 了 修改 。 

(3) 身份 欺骗 、 次 用 口令 、 应 用 层 攻击 。IPSec 的 身份 交换 和 认证 机 制 不 会 暴露 任何 信 
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息 ,不 给 攻击 者 有 可 乘 之 机 , 双 癌 认证 在 通信 系统 之 间 建 立信 任 关 系 , 只 有 可 信赖 的 系统 才 
能 彼此 通信 。 

(4) 中 间 人 攻击 。IPSec 结合 双向 认证 和 共享 密 钥 ,足以 抵御 中 间 人 攻击 。 

(5) 拒绝 服务 攻击 。IPSec 使 用 IP 包 过 滤 法 ,依据 IP 地 址 范围 .协议 甚至 特定 的 协议 
端口 号 来 决定 哪些 数据 流 需 要 受到 保护 ,哪些 数据 流 可 以 被 允许 通过 ,哪些 需要 拦截 。 

总 之 ,IPSec 协议 族 提供 了 位 于 网 络 层 的 、 端 到 端的 传送 安全 保证 。 它 通过 两 个 基本 协 
议 实现 ,其 中 由 AH 提供 源 地 址 验证 和 数据 完整 性 检验 ,但 不 保证 数据 隐秘 性 ; 而 ESP 协 
议 则 提供 了 数据 加 密 主机 验证 和 数据 完整 性 检验 ,可 以 用 来 保证 数据 的 隐秘 性 。 除 此 之 
外 ,协议 族 中 的 IKE 协议 实现 了 端 到 端的 自动 密 钥 交换 机 制 。 


7.3 网 络 安全 


7.3.1 计算 机 网 络 面临 的 威胁 


网 络 安全 是 指 网 络 系统 的 便 件 、 软 件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶 然 的 或 者 恶意 
的 原因 而 遭受 破坏 、 蝎 改 、 泄 露 ,系统 连续 可 徘 \ 正 常 地 运行 ,网 络 服务 不 中 断 。 

计算 机 网 络 所 面临 的 威胁 大 体 可 分 为 两 种 : 一 是 对 网 络 中 信息 的 威胁 ; 二 是 对 网 络 中 
设备 的 威胁 。 影 啊 计 算 机 网 络 的 因素 很 多 ,有 些 因 素 可 能 是 有 意 的 ,也 可 能 是 无 意 的 ; 可 能 
是 人 为 的 ,也 可 能 是 非 人 为 的 ; 可 能 是 外 来 黑客 对 网 络 系统 资源 的 非法 使 用 。 归 纳 起 来 , 针 
对 网 络 安全 的 威胁 主要 有 如 下 几 种 : 

(1) 人 为 的 无 意 失 误 。 如 操作 员 安 全 配置 不 当 造 成 的 安全 漏洞 ,用 户 安全 意识 不 强 , 用 
户口 令 选 择 不 愤 , 用 户 将 自己 的 账号 随意 转 信 他 人 或 与 别人 共享 等 都 会 对 网 络 安全 市 来 
威胁 。 

(2) 人 为 的 恶意 攻击 。 这 是 计算 机 网 络 所 面临 的 最 大 威胁 ,敌手 的 攻击 和 计算 机 犯罪 
就 属于 这 一 类 。 此 类 攻击 又 可 以 分 为 以 下 两 种 : 一 种 是 主动 攻击 , 它 以 各 种 方式 有 选择 地 
破坏 信息 的 有 效 性 和 完整 性 ; 男 一 种 是 被 动 攻 击 , 它 是 在 不 影响 网 络 正常 工作 的 情况 下 进 
行 截获 、 鳃 取 \ 破 详 , 以 获得 重要 机 密 信 息 。 这 两 种 攻击 均 可 对 计算 机 网 络 造 成 极 大 的 危害 ， 
并 寻 致 机 密 数 据 的 泄露 。 

(3) 网 络 软件 的 漏洞 和 “后门 >。 网 络 软件 不 可 能 是 百分之百 的 无 缺陷 和 无 洗 洞 。 然 
而 ,这 些 漏 洞 和 缺陷 恰恰 是 黑客 进行 攻击 的 首选 目标 ,曾经 出 现 过 的 墨客 攻 入 网 络 内 部 的 事 
件 , 这 些 事件 大 部 分 就 是 因为 安全 措施 不 完善 所 招致 的 盏 果 。 男 外 ,软件 的 “后 门 ”部 是 软件 
公司 的 设计 编程 人 员 为 了 日 便 而 设置 的 ,一 般 不 为 外 人 所 知 ,而 一 旦 “后 门 ” 洞 开 , 其 造成 的 
后 果 将 不 堪 设 想 。 


7.3.2 网 络 安全 策略 


1. 物理 安全 策略 


物理 安全 策略 的 目的 是 保护 计算 机 系统 .网络 服务 器 .打印 机 等 硬件 实体 和 通信 和 链 路 免 
受 目 然 灾害 \ 人 为 破坏 和 挫 线 攻击 ; 验证 用 户 的 身份 和 使 用 权限 、 防 止 用 户 越权 操作 ; 确保 
计算 机 系统 有 一 个 良好 的 电磁 兼容 工作 环境 ; 建立 完备 的 安全 管理 制度 ,防止 非法 进入 计 
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算 机 控制 室 和 各 种 偷 禄 .破坏 活动 的 发 生 。 

抑制 和 防止 电磁 泄漏 是 物理 安全 策略 的 一 个 主要 问题 。 目 前 主要 防护 措施 有 两 类 。 一 
类 是 对 传导 发 射 的 防护 ,主要 采取 对 电源 线 和 信号 线 加 装 性 能 良好 的 滤波 颖 , 减 小 传输 阻抗 
和 导线 间 的 交叉 耦合 。 另 一 类 是 对 辐射 的 防护 ,这 类 防护 措施 又 可 分 为 以 下 两 种 : 一 种 是 
采用 各 种 电磁 屏蔽 措施 ,如 对 设备 的 金属 屏蔽 和 各 种 接 插件 的 屏蔽 ,同时 对 机 房 的 下 水 管 、 
暖气 管 和 金属 门窗 进行 屏蔽 和 隔离 ; 另 一 种 是 干扰 的 防护 措施 , 即 在 计算 机 系统 工作 的 同 
时 ,利用 干扰 装置 产生 一 种 与 计算 机 系统 辐射 相关 的 伪 了 噪声 辐 空间 辐射 来 掩盖 计算 机 系统 
的 工作 频率 和 信息 特征 。 

2. 访问 控制 策略 

访问 控制 策略 是 网 络 安 全 防范 和 保护 的 主要 策略 , 它 的 主要 任务 是 保证 网 络 资源 不 被 
非法 使 用 和 访问 ,是 维护 网 络 系统 安全 .保护 网 络 资源 的 重要 手段 。 各 种 安全 策略 必须 相互 
配合 才能 真正 起 到 保护 作用 ,但 访问 控制 是 保证 网 络 安全 最 重要 的 核心 策略 之 一 。 下 面 简 
单 介绍 各 种 访问 控制 策略 。 

1) 入 网 访问 控制 

入 网 访问 控制 为 网 络 访问 提供 了 第 一 层 访问 控制 。 它 控制 哪些 用 户 能 够 登录 到 服务 需 
并 获取 网 络 资源 ,控制 准许 用 户 人 网 的 时 间 和 准许 用 户 在 哪 台 工作 站 和 网。 

用 户 的 入 网 访问 控制 可 分 为 3 个 步骤 : 用 户 名 的 识别 与 验证 .用户 口令 的 识别 与 验证 、 
用 户 账 号 的 默认 限制 检查 。3 道 关 卡 中 只 要 任何 一 关 未 过 ,该 用 户 便 不 能 进入 该 网 络 。 

对 网 络 用 户 的 用 户 名 和 口令 进行 验证 是 防止 非法 访问 的 第 一 道 防线 。 用 户 注 册 时 首先 
输入 用 户 名 和 口令 ,服务 器 将 验证 所 输入 的 用 户 名 是 否 合法 ,如 果 验 证 合法 , 才 继 续 验 证 用 
户 输入 的 口令 ,否则 ,用 户 将 被 拒 之 网 络 之 外 。 用 户 的 口令 是 用 户 入 网 的 关键 所 在 。 为 保证 
口令 的 安全 性 ,用 户口 令 不 能 显示 在 显示 屏 上 ,口令 长 度 应 不 少 于 6 个 字符 ,口令 字符 最 好 
是 数字 ,字母 和 其 他 字符 的 混合 。 用 户口 令 必 须 经 过 加 密 。 加 密 的 方法 很 多 ,其 中 最 常见 的 
方法 有 基于 单 癌 函数 的 口令 加 密 、 基 于 测试 模式 的 口令 加 密 、 基 于 公 钥 加 密 方 案 的 口令 加 
密 、 基 于 二 次 方 剩余 的 口令 加 密 、 基 于 多 项 式 共 享 的 口令 加 密 、 基 于 数字 签名 方案 的 口令 加 
密 等 。 经 过 上 述 方法 加 密 的 口令 ,即使 是 系统 管理 员 也 难以 得 到 它 。 用 户 也 可 采用 一 次 性 
用 户口 令 , 还 可 用 便携 式 验 证 器 (如 智能 卡 ) 来 验证 用 户 的 身份 。 

网 络 管理 员 应 该 可 以 控制 和 限制 普通 用 户 的 账号 使 用 ,访问 网 络 的 时 间 方式。 用 户 名 
或 用 户 账 号 是 所 有 计算 机 系统 中 最 基本 的 安全 形式 。 用 户 账 号 应 只 有 系统 管理 员 才 能 建 
立 。 用 户口 令 应 是 每 个 用 户 访问 网 络 所 必须 提交 的 “证 件 ”, 用 户 可 以 修改 自己 的 口令 ,但 系 
统管 理 员 应 该 可 以 控制 口令 的 以 下 几 个 方面 的 限制 : 最 小 口令 长 度 、 强 制 修改 口令 的 时 间 
间隔 ,口令 的 唯一 性 ,口令 过 期 失效 后 允许 入 网 的 宽 限 次 数 。 

用 户 名 和 口令 验证 有 效 之 后 ,再 进一步 履行 用 户 账 号 的 默认 限制 检查 。 网 络 应 能 控制 
用 户 登 录入 网 的 站 点 ,限制 用 户 人 网 的 时 间 ,限制 用 户 人 网 的 工作 站 数量 。 当 用 户 对 交 费 网 
络 的 访问 “资费 ”用 尽 时 ,网 络 还 应 能 对 用 户 的 账号 加 以 限制 ,用 户 此 时 应 无 法 进入 网 络 访问 
网 络 资源 。 网 络 应 对 所 有 用 户 的 访问 进行 审计 。 如 果 多 次 输入 口令 不 正确 , 则 认为 是 非法 
用 户 的 入 侵 , 应 给 出 报警 信息 。 

2) 网 络 的 权限 控制 

网 络 的 权限 控制 是 针对 网 络 非法 操作 所 提出 的 一 种 安全 保护 措施 。 用 户 和 用 户 组 被 赋 
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予 一 定 的 权限 。 网 络 控制 用 户 和 用 户 组 可 以 访问 哪些 目录 、 子 日 录 、 文 件 和 其 他 资源 ,可 以 
指定 用 户 对 这 些 文件 目录、 设备 能 够 执行 哪些 操作 。 可 以 根据 访问 权限 将 用 户 分 为 以 下 
几 类 ，。 

(1) 特殊 用 户 ( 即 系统 管理 员 ) 。 

(2) 一 般 用 户 ,系统 管理 员 根 据 用 户 的 实际 需要 为 其 分 配 操作 权限 。 

(3) 审计 用 户 ,负责 网 络 的 安全 控制 与 资源 使 用 情况 的 审计 。 

用 户 对 网 络 资源 的 访问 权限 可 以 用 一 个 访问 控制 表 来 描述 。 

3) 目录 级 安全 控制 

网 络 应 允许 控制 用 户 对 目录 、 文 件 、 设 备 的 访问 。 用 户 在 目录 一 级 指定 的 权限 对 所 有 文 
件 和 子 目 录 有 效 ,用 户 还 可 进一步 指定 对 目录 下 的 子 目录 和 文件 的 权限 。 对 目录 和 文件 的 
访问 权限 一 般 有 8 种 : 系统 管理 员 权 限 (supervisor) \、 读 权限 (read) 、 写 权限 (write) ,创建 权 
限 (create) .删除 权限 (erase) ,修改 权限 (modify) 、 文 件 查 找 权 限 (file scan) 、 存 取 控 制 权 限 
(access control)。 一 个 网 络 系统 管理 员 应 当 为 用 户 指 定 适当 的 访问 权限 ,这 些 访问 权限 控 
制 着 用 户 对 服务 硕 的 访问 。8 种 访问 权限 的 有 效 组 合 可 以 让 用 户 有 效 地 完成 工作 ,同时 又 
能 控制 用 户 对 服务 器 资源 的 访问 ,从 而 加 强 了 网 络 和 服务 器 的 安全 性 。 

4) 属性 安全 控制 

当 使 用 文件 .目录 和 网 络 设备 时 ,网 络 系统 管理 员 应 给 文件 .目录 等 指定 访问 属性 。 属 
性 安全 控制 可 以 将 给 定 的 属性 与 网 络 服务 需 的 文件 .目录 和 网 络 设备 联系 起 来 。 属 性 安全 
在 权限 安全 的 基础 上 提供 更 进一步 的 安全 性 。 网 络 上 的 资源 都 应 预先 标 出 一 组 安全 属性 。 
用 户 对 网 络 资源 的 访问 权限 对 应 一 张 访问 控制 表 , 用 以 表明 用 户 对 网 络 资源 的 访问 能 力 。 
属性 设置 可 以 宪 盖 已 经 指定 的 任何 受托 者 指派 和 有 效 权 限 。 属 性 往往 能 控制 以 下 几 个 方面 
的 权限 : 回 茶 个 文件 写 数 据 、 复制 一 个 文件 .删除 目录 或 文件 .查看 目录 和 文件 、 执 行文 件 、 
隐 含 文件 共享、 系统 属性 等 。 网 络 的 属性 可 以 保护 重要 的 目录 和 文件 ,防止 用 户 对 目录 和 
文件 的 误 删 除 、 执 行 修改 、 显 示 等 。 

5) 网 络 服务 右 安 全 控制 

网 络 人 允许 在 服务 副 控 制 台 上 执行 一 系列 操作 。 用 户 使 用 控制 台 可 以 法 载 和 弛 载 模块 ， 
可 以 安 滩 和 删除 软件 等 操作 。 网 络 服 务 副 的 安全 控制 包括 可 以 设置 口令 锁定 服务 副 控 制 
台 , 以 防止 非法 用 户 修 改 、 删除 重要 信息 或 破坏 数据 ; 可 以 设 定 服务 硕 登 录 时 间 限 制 、 非 法 
访问 者 检测 和 关闭 的 时 间 间 隔 。 

6) 网 络 监测 和 锁定 控制 

网 络 管理 员 应 对 网 络 实 施 监控 ,服务 帮 应 记录 用 户 对 网 络 资 源 的 访问 和 对 非法 的 网 络 
访问 ,服务 需 应 以 图 形 .文字 或 声音 等 形式 报警 ,以 引起 网 络 管理 员 的 注意 。 如 果 不 法 之 徒 
企图 进入 网 络 ,网络 服务 右 应 会 日 动 记录 企图 尝试 进入 网 络 的 次 数 , 如 果 非 法 访问 的 次 数 达 
到 设 定 数值 ,那么 该 账户 将 被 日 动 锁 定 。 

7) 网 络 端口 和 结 点 的 安全 控制 

网 络 中 服务 硕 的 端口 往往 使 用 上 月 动 回 呼 设 备 .静默 调制 解 调 需 加 以 保护 ,并 以 加 密 的 形 
式 来 识别 结 点 的 号 份 。 自 动 回 呼 设备 用 于 防止 假冒 合法 用 户 ,静默 调制 解 调 需 用 以 防范 黑 
客 的 自动 拨号 程序 对 计算 机 进行 攻击 。 网 络 还 常 对 服务 右 端 和 用 户 端 采取 控制 ,用 户 必须 
携带 证 实 身 份 的 验证 硕 ( 如 智能 卡 、 和 磁卡 、 安 全 密码 发 生 硕 ) 。 在 对 用 户 的 身份 进行 验证 之 
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后 , 才 允 许 用 户 进入 用 户 端 。 然 后 ,用 户 端 和 服务 器 端 青 进行 相互 验证 。 

8) 防火 墙 控制 

这 里 将 防火 墙 定 义 为 连接 两 个 网 络 的 计算 机 : 一 个 连接 来 自 受 保护 的 网 络 ; 另 一 个 连接 
通 向 开放 的 网 络 。 在 VPN 技术 中 , 受 保护 的 网 络 称 为 专用 网 络 , 而 开放 的 网 络 称 为 公用 网 络 。 

防火 墙 的 作用 是 挡住 不 需要 的 TCP/IP 数据 报 , 让 需要 的 TCP/IP 数据 报 通 过 。 有 些 
不 需要 的 数据 报 可 能 是 假 的 ,黑客 发 送 它 们 来 攻击 系统 。 防 火 墙 的 工作 就 是 判定 哪个 端口 
正 被 应 用 程序 使 用 ,有 选择 地 拒绝 不 允许 的 所 有 端口 。 

通常 配置 此 设备 允许 信息 自由 地 从 企业 网 (专用 网 ) 流 向 Internet( 公 用 网 ) ,而 限制 信 
息 从 因特网 流向 企业 网 。 换 句 话说 ,任何 信息 都 可 以 流出 ,但 只 有 许可 的 信息 才能 流入 。 选 
择 允 许 通 过 防火 墙 的 特定 TCP/IP 数据 报 的 过 程 一 般 称 为 过 滤 。 

一 种 情况 是 在 安装 防火 墙 时 ,过 滤器 用 来 阻塞 所 有 的 TCP/IP 数据 报 。 当 然 ,这 样 具有 
立即 完全 关闭 因特网 访问 的 效果 。 网 络 管理 员 这 时 启用 网 络 操作 需要 的 那些 TCP/IP, 这 
种 防火 墙 允 许 网 络 管理 员 跟 踪 可 以 通过 和 不 可 以 通过 的 信息 。 

在 第 二 种 情况 下 ,防火 墙 起 初 对 因特网 任 一 方向 的 通信 几乎 没有 什么 影响 。 网 络 管理 
员 必 须 专 门 启用 过 滤器 来 阻塞 所 需 的 端口 。 只 有 这 些 专门 启用 的 过 滤 需 才能 影响 因特网 的 
访问 。 这 种 防火 墙 的 基本 想法 是 对 用 户 尽 量 少 限制 ,同时 又 对 因特网 访问 保持 某 种 程度 的 
控制 。 缺 点 是 管理 员 很 容易 错过 一 两 个 端口 ,或 错过 某 个 范围 的 端口 ,使 攻击 者 有 机 可 乘 。 

3. 信息 加 密 策略 

信息 加 密 的 目的 是 保护 网 内 的 数据 .文件 .口令 和 控制 信息 ,保护 网 上 传输 的 数据 。 网 
络 加 密 和 常用 的 方法 有 链 路 加 密 、 端 - 端 加 密 和 结 点 加 密 3 种 。 链 路 加 密 的 目的 是 保护 网 络 结 
点 之 间 的 链 路 信息 安全 ; 端 - 端 加 密 的 目的 是 对 源 端 用 户 到 目的 端 用 户 的 数据 提供 保护 ; 结 
点 加 密 的 目的 是 对 源 结 点 到 目的 结 点 之 间 的 传输 链 路 提供 保护 。 用 户 可 根据 网 络 情况 酌情 
选择 加 密 方式 。 

密码 技术 是 网 络 安全 最 有 效 的 技术 之 一 。 一 个 加 密 网 络 , 不 但 可 以 防止 非 授 权 用 户 的 
搭 线 窃听 和 和 人 网 ,而 且 也 是 应 对 恶意 软件 的 有 效 方法 之 一 。 

4. 网 络 安全 管理 策略 

在 网 络 安 全 中 ,除了 采用 上 述 技 术 措 施 之 外 ,加 强 网 络 的 安全 管理 \ 制 定 有 关 规 章 制 度 ， 
对 于 确保 网 络 安全 和 可 靠 运行 ,将 起 到 十 分 有 效 的 作用 。 

网 络 的 安全 管理 策略 包括 : 确定 安全 管理 等 级 和 安全 管理 范围 ; 制定 有 关 网 络 操作 使 
用 规程 和 人 员 出 入 机 房管 理 制度 ; 制定 网 络 系统 的 维护 制度 和 应 急 措 施 等 。 


7.4 系统 安全 


7.4.1 操作 系统 安全 
1. 安全 操作 系统 


操作 系统 是 应 用 软件 同系 统 硬 件 的 接口 。 在 信息 系统 安全 涉及 的 众多 内 容 中 ,操作 系 
统 、 网 络 系统 与 数据 库 管 理 系统 的 安全 问题 是 核心 。 没 有 系统 的 安全 就 没有 信息 的 安全 。 
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作为 系统 软件 中 最 基础 部 分 的 操作 系统 ,其 安全 问题 的 解决 又 是 关键 中 之 关键 。 

安全 操作 系统 (secure operating system) 指 的 是 能 对 所 管理 的 数据 与 资源 提供 适当 的 
保护 级 ` 有 效 地 控制 硬件 与 软件 功能 的 操作 系统 。 若 没有 安全 操作 系统 的 支持 ,数据库 就 不 
可 能 具有 存 取 控制 的 安全 可 信 性 ,就 不 可 能 有 网 络 系统 的 安全 性 ,也 不 可 能 有 应 用 软件 信息 
处 理 的 安全 性 。 因 此 ,安全 操作 系统 是 整个 信息 系统 安全 的 基础 。 

就 安全 操作 系统 的 形成 方式 而 言 ,一 种 是 从 系统 开始 设计 时 就 充分 考虑 到 系统 的 安全 
性 的 安全 设计 方式 , 男 一 种 是 基于 一 个 通用 的 操作 系统 ,专门 进行 安全 性 改进 或 增强 的 安全 
增强 方式 。 安 全 操作 系统 在 开发 完成 后 ,在 正式 投入 使 用 之 前 一 般 都 要 求 通过 相应 的 安全 


性 评测 。 

对 操作 系统 安全 的 威胁 主要 有 以 下 几 方 面 。 

(1) 以 操作 系统 为 手段 ,获得 授权 以 外 或 未 授权 的 信息 。 它 危害 计算 机 及 其 信息 系统 
的 机 密 性 和 完整 性 。 


(2) 以 操作 系统 为 手段 ,阻碍 计算 机 系统 的 正常 运行 或 用 户 的 正常 使 用 。 它 破坏 计算 
机 系统 的 完整 性 ,危害 了 计算 机 系统 的 可 用 性 。 

(3) 以 软件 为 对 象 , 非 法 复制 和 非法 使 用 。 

(4) 以 操作 系统 为 手段 ,破坏 计算 机 及 其 信息 系统 的 安全 , 禄 取 或 非法 获取 系统 的 


操作 系统 的 安全 性 对 计算 机 系统 和 信息 系统 的 安全 性 有 着 至 关 重 要 的 影响 。 目 前 ,大 
多 计算 机 攻击 都 利用 了 操作 系统 和 系统 应 用 程序 的 安全 漏洞 , 即 操作 系统 存在 的 安全 缺陷 。 
工业 界 已 经 承认 这 样 一 个 事实 : 任何 操作 系统 都 是 有 缺陷 的 ,但 绝 大 多 数 操作 系统 是 可 徘 
的 ,可 以 基本 完成 其 设计 功能 。 操 作 系 统 的 设计 必须 解决 以 下 两 个 相互 抵触 的 要 求 。 

(1) 用 户 应 能 使 用 (调用 ) 操 作 系统 。 

(2) 用 户 不 能 滥用 操作 系统 。 

操作 系统 安全 的 主要 目标 如 下 。 

(1) 标识 系统 中 的 用 户 ,并 进行 身份 鉴别 。 

(2) 依据 系统 安全 策略 对 用 户 的 操作 进行 访问 控制 ,防止 用 户 对 计算 机 资源 的 非法 访 
问 ( 急 取 、 自 改 和 破坏 )。 

(3) 监督 系统 运行 的 安全 性 。 

(4) 保证 系统 自身 的 安全 性 和 完整 性 。 

从 用 户 观点 ,要 求 操作 系统 提供 的 基本 的 安全 服务 有 如 下 几 方 面 。 

(1) 存储 保护 。 

(2) 文件 保护 。 

(3) 一 般 客体 的 访问 控制 (general object access control) 。 

(4) 用 户 鉴别 。 

如 果 操 作 系 统 有 以 一 致 的 且 有 效 的 方式 提供 上 述 4 个 服务 的 置信 和 度 , 则 称 该 操作 系统 
是 可 信和 的 。 也 可 以 说 ,可 信和 操作 系统 是 一 个 使 用 了 足够 的 硬件 和 软件 完整 性 机 制 , 能 够 用 来 
同时 人 处理 大 量 敏 感 或 分 类 信息 的 系统 。 可 信和 操作 系统 涉及 下 列 关 键 概念 。 

(1) kernelized design( 内 核 化 设计 )。 
(2) security kernel( 安 全 内 核 )。 
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(3) reference monitor( 基 准 监 视 希 ) 。 

(4) trusted computing base (TCB ,可 信 计 算 基 ) 。 

(5) virtualization( 虚 拟 化 ) 。 

(6) layered design( 分 层 设计 ) 。 

从 设计 者 的 观点 ,根据 提供 安全 服务 的 构件 的 设计 和 功能 来 查看 可 信 操 作 系统 。 可 信 
操作 系统 的 4 个 主要 基础 如 下 。 

(1) 安全 策略 。 安 全 策略 定义 了 一 组 意义 明确 的 、 一致 的 和 可 实现 的 规则 ,而 且 这 些 规 
则 能 被 非常 清楚 地 无 二 义 地 表达 处 理 ,满足 操作 系统 的 安全 需求 。 

(2) 模型 。 用 形式 化 的 方法 来 描述 如 何 实现 系统 的 机 蜜 性、 完整 性 和 可 用 性 等 安全 需 
求 ,模型 是 策略 的 一 种 表示 。 

(3) 设计 。 设 计 包 括 可 信和 操作 系统 是 什么 \ 它 期 望 的 功能 以 及 它 是 如 何 构 造 的 , 即 它 的 
实现 。 

(4) 信任 。 对 一 个 系统 的 信任 基于 两 方面 : 一 方面 是 特征 , 即 操作 系统 包含 了 实施 安 
全 策略 所 必需 的 所 有 功能 ; 另 一 方面 是 保证 , 即 操作 系统 的 实现 方式 使 人 们 信任 它 能 够 正 
确 且 有 效 地 实施 安全 策略 。 

2. 安全 操作 系统 等 级 划分 

对 安全 操作 系统 的 研究 , 始 于 美国 国防 部 1967 年 启动 的 安全 操作 系统 项 目 Adept-50， 
经 历 了 黄 基 时 期 多 策略 时 期 和 动态 策略 时 期 。 国 内 安全 操作 系统 研究 起 步 较 晚 ,但 目前 已 
被 广泛 重视 ,国内 车 用 安全 操作 系统 的 研究 还 处 于 起 步 阶段 。 而 美军 早 在 20 世纪 80 年 代 
已 开始 有 了 B2 级 以 上 的 高 安全 等 级 操作 系统 ,但 对 我 国 进行 技术 封锁 。 

国际 上 计算 机 系统 安全 人 研究 影响 重大 的 一 个 显著 成 果 是 安全 产品 的 评价 标准 。 美 国 国 
防 部 于 1983 年 提出 并 于 1985 年 批准 的 可 信 计 算 机 系统 安全 评价 准则 (TCSEC) (又 称 " 桶 
皮 书 ”) 为 计算 机 安全 产品 的 评测 提供 了 测试 准则 和 方法 ,指导 信息 安全 产品 的 制造 和 应 用 ， 
并 建立 了 关于 网 络 系统 、 数 据 库 等 的 安全 解释 。TCSEC 将 计算 机 系统 的 安全 可 信和 性 分 为 4 
等 8 个 级 别 。 安 全 等 级 按 D.Cl1、C2、Bl1、B2、B3、Al、 超 Al 渐次 增强 ,如 表 7-4 所 示 。 


表 7-4 TCSEC 的 安全 分 级 表 


超 Al 可 信任 分 布 级 硬件 和 软件 在 物理 传输 过 程 中 已 经 受到 保护 ,以 防止 破坏 安全 系统 
Al 验证 设计 级 形式 化 验证 安全 模型 ,形式 化 隐蔽 通道 分 析 


B3 安全 域 防护 级 安全 内 核 ,高 抗 渗透 能 力 


2 、 乡 ， 和 结 . 全 
加 a oa 隐秘 通道 约束 ,面向 安全 的 体系 结构 , 较 好 的 抗 渗 


Bl 符号 安全 防护 级 强制 访问 控制 ,安全 标识 , 删 去 与 安全 相关 的 缺陷 
C2 受 控 访问 防护 级 受 控 目 主 访问 控制 ,增加 审核 机 制 ,记录 安全 性 事件 
| 选择 性 安全 防护 级 | 要 求 硬件 有 一 定 的 安全 防护 


D 最 低 防护 级 最 低 等 级 


D 级 是 最 低 的 安全 级 别 ,整个 计算 机 系统 是 不 可 信任 的 。 人 硬件 和 操作 系统 很 容易 被 侵 
效 。 任 何人 都 可 以 目 由 地 使 用 该 计算 机 系统 ,不 对 用 户 进行 验证 。 系 统 不 要 求 用 户 进 行 登 
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记 ( 要 求 用 户 提 供用 户 名 ) 或 使 用 密码 (要 求 用 户 提 供 唯一 的 字符 串 来 进行 访问 )。 任 何人 都 
可 以 坐 在 计算 机 的 旁边 并 使 用 它 。DOS、Windows 3. x 及 Windows 95( 不 在 工作 组 方式 中 ) 
都 属于 D 级 的 计算 机 操作 系统 。 

C 级 分 为 C1 级 和 C2 级 。C1 级 是 选择 性 安全 防护 (discretionary security protection ) 
系统 ,要求 硬 件 有 一 定 的 安全 保护 (如 硬件 有 带 锁 效 置 ,需要 钥 是 才能 使 用 计算 机 )。 用 户 在 
使 用 计算 机 系统 前 必须 先 登 录 。 另 外 ,作为 Cl 级 保护 的 一 部 分 ,允许 系统 管理 员 为 一 些 程 
序 或 数据 设立 访问 许可 权限 。UNIX 系统 、Novell 3. x 或 更 高 版 本 、Windows NT 都 属于 
C1 级 兼容 计算 机 操作 系统 。C2 级 引进 了 受 控 访问 环境 (用 户 权 限 级 别 ) 的 增强 特性 ,具有 
进一步 限制 用 户 执行 某 些 命令 或 访问 某 些 文件 的 权限 ,而 且 还 加 入 了 号 份 认 证 级 别 。 能 够 
达到 C2 级 的 常见 操作 系统 有 UNIX、Novell 3. x 或 更 高 版 本 、Windows NT。 

B 级 分 为 Bl、B2 和 B3 共 3 个子 级 。Bl 级 : 指 符 号 安全 防护 (label security 
protection) , 文 持 多 级 安全 。“ 符 号 ”是 指 网 上 的 一 个 对 象 , 该 对 象 在 安全 防护 计划 中 是 可 识 
别 且 受 保护 的 。“ 多 级 ”是 指 这 一 安全 防护 安装 在 不 同 级 别 , 对 敏感 信息 提供 更 高 级 的 保护 ， 
让 每 个 对 象 都 有 一 个 敏感 标签 ,而 每 个 用 户 都 有 一 个 许可 级 别 。B1 级 安全 措施 的 计算 机 系 
统 随 看 计算 机 系统 而 定 , 政 府 机 构 和 防御 承包 商 们 是 Bl 级 计算 机 系统 的 主要 拥有 者 。B2 
级 又 称 为 结构 化 防护 (structured protection) ,要 求 计算 机 系统 中 所 有 对 象 加 标签 ,而 且 给 
设备 (如 工作 站 终端 和 磁盘 驱动 硕 ) 分 配 安全 级 别 。 如 人 允许 用 户 访问 一 台 工 作 站 ,但 不 允许 
访问 含有 职员 工资 资料 的 磁盘 子 系统 。B3 级 又 称 为 安全 域 (security domain) ,要 求 用 户 工 
作 站 或 终端 通过 可 信任 途径 连接 网 络 系统 ,而 且 这 一 级 采用 硬件 来 保护 安全 系统 的 存储 区 。 

A 级 是 橘 皮 书 中 的 最 高 安全 级 ,又 称 为 验证 设计 (verity design), 它 包括 了 一 个 严格 的 
设计 ,控制 和 验证 过 程 。 与 前 面 所 提 到 的 各 级 别 一 样 ,该 级 别 包 含 了 较 低 级 别 的 所 有 特性 。 
设计 必须 是 从 数学 角度 经 过 验证 的 ,而 且 必 须 进行 秘密 通道 和 可 信任 分 布 的 分 析 。 可 信任 
分 布 (trusted distribution) 的 含义 是 ,硬件 和 软件 在 物理 传输 过 程 中 已 经 受到 保护 ,以 防止 
破坏 安全 系统 。 

安全 操作 系统 通常 与 相应 的 安全 等 级 相对 应 ,例如 ,根据 TCSEC 标准 ,通常 称 Bl 级 以 
上 的 操作 系统 为 安全 操作 系统 。 

3. 普通 操作 系统 与 可 信 操 作 系 统 在 安全 特性 方面 的 区 别 

普通 操作 系统 的 安全 特性 包括 用 户 鉴 别 . 内 存 保护 、 文 件 和 输入 输出 设备 访问 控制 ,对 
一 般 对 象 的 分 配 和 访问 控制 ,共享 的 实施 ,保证 公平 服务 .进程 间 通 信和 同步 ,对 操作 系统 保 
护 数 据 的 保护 。 

可 信和 操作 系统 的 安全 特性 包括 用 户 识 别 和 鉴别、 强制 访问 控制 、 自 主 访问 控制 .对 象 重 
用 保护 \ 完 全 检查 、 可 信和 路 人 径 (可 信和 通路 ) 审计 、 审 计 日 志 精 简 、 入 侵 检 测 等 。 

用 户 号 份 识别 和 鉴别 是 众多 计算 机 安全 的 基础 , 它 是 用 户 鉴 别 和 用 户 号 份 的 唯一 标识 。 

强制 访问 控制 指 的 是 访问 控制 策略 的 判决 不 受 一 个 对 象 的 单个 拥有 者 的 控制 ,中 央 授 
权 系 统 决定 哪些 信息 可 被 哪些 用 户 访问 ,而 用 户 自 己 不 能 够 改变 访问 权限 。 

日 主 访问 控制 指 的 是 拥有 者 能 够 决定 谁 应 该 拥有 对 其 对 象 的 访问 权 及 其 内 容 。 在 商业 
环境 中 ,常用 自主 访问 控制 来 允许 指定 群体 中 的 所 有 人 (有 时 是 其 他 的 命名 个 体 ) 改 变 访问 
权 。 强 制 访问 控制 和 日 主 访问 控制 可 同时 应 用 于 同一 个 对 象 。 强 制 访问 控制 的 优先 权 要 高 
于 自主 访问 控制 。 
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对 象 重用 保护 指 对 曾经 包含 一 个 或 几 个 客体 的 存储 介质 (如 页 帧 ` 盘 书面 、 磁 带 ) 重 新 分 
配 和 重用 。 为 了 安全 地 进行 重 分 配 重用, 要求 介质 不 得 包含 重 分 配 前 的 残留 数据 。 计 算 机 
保持 其 效率 的 一 种 方法 就 是 对 象 重 用 ,但 对 象 重 用 可 能 产生 严重 的 脆弱 点 。 通 常 ,文件 占用 
的 空间 来 日 于 磁盘 上 先前 被 用 过 ,但 现在 已 被 释放 的 空间 ， es x 间 。 被 释 
放 的 空间 是 “ 脏 ” 的 ,也 就 是 说 , 它 仍然 包含 先前 用 户 的 数据 。 恶 意 的 用 户 会 申请 大 量 磁盘 空 
间 , 然 后 从 中 获取 敏感 信息 。 这 种 攻击 被 称 为 对 象 重用 攻击 。 这 个 问题 包括 磁盘 、 主 存 .处 
理 需 的 寄存 需 、 其 他 磁 介 质 ( 例 如 磁带 ) 或 者 其 他 可 重用 的 存储 媒体 。 磁 介质 对 于 此 类 攻击 
尤其 脆弱 。 非 常 精 密 和 昂贵 的 仪 磊 有 时 候 能 够 将 最 近 的 数据 和 它 先 前 记录 的 数据 分 开 , 然 
后 再 将 后 者 与 后 者 之 前 的 数据 分 开 , 以 此 类 推 。 这 种 威胁 , 称 为 磁 记 忆 。 在 任何 情况 下 , 操 
作 系 统 在 允许 对 资源 的 访问 之 前 必须 负责 清除 资源 上 的 信息 。 

完全 检查 指 的 是 所 有 主体 对 客体 的 访问 必须 受到 控制 。 高 可 信 操 作 系 统 执行 完全 检 

查 ,意思 就 是 所 有 的 访问 必须 经 过 检查 。 为 了 让 强制 或 者 目 主 访问 控制 有 效 , 所 有 的 访问 必 
须 受 到 控制 。 如 果 攻 击 者 通过 内 存 、 外 部 端口 、 网 络 或 者 隐蔽 通道 请 求 访问 ,那么 仅仅 对 文 
件 的 访问 进行 控制 是 不 够 的 。 由 于 需要 控制 更 多 的 访问 路 径 , 可 信和 操作 系统 的 设计 和 实现 
难度 就 大 大 增加 了。 高 可 信和 操作 系统 执行 完全 检查 ,意思 就 是 所 有 的 访问 必须 经 过 检查 。 

可 信 路 径 是 终端 人 员 能 借以 直接 与 可 信 计 算 机 通信 的 一 种 机 制 。 该 机 制 只 能 由 有 关 终 
疹 操作 人 员 或 可 信 计 算 机 局 动 ， 人 恶意 用 户 获得 不 合适 访问 的 
一 种 途径 就 是 欺骗” 用户 ,使 用 户 认 为 上 月 己 正 和 一 合法 的 安全 系统 在 通信 ， 而 实际 上 这 时 
候 键 入 的 内 容 以 及 命令 已 经 被 截获 且 分 析 了 。 站 对 于 关键 的 操作 ,如 设置 口令 或 者 更 改 
访问 许可 ,用 户 希 望 能 进行 无 误 的 通信 ( 称 为 可 信和 通路 ) ,以 确保 用 户 只 回合 法 的 接收 者 提供 
这 些 重要 的 、 受 保护 的 信息 。 

在 一 些 操作 系统 中 ,用 户 通过 输入 一 个 唯一 的 键 序列 [如 Windows NT 操作 系统 的 
Ctrl 十 Alt 十 Del 键 , 这 个 唯一 的 键 序 列 称 为 安全 注意 序列 (Secure Attention Sequence， 
SAS) 上 来 请 求 一 条 可 信 通 路 。 这 个 唯一 的 键 序 列 在 设计 上 直接 被 安全 实施 软件 截获 。 在 其 
他 可 信 系 统 中 ,与 安全 相关 的 改变 只 能 在 系统 司 动 的 时 候 进 行 。 也 就 是 说 ,改变 只 能 在 除 安 
全 实施 代码 外 的 其 他 任何 进程 运行 之 前 进行 。 

可 审计 性 通常 涉及 维护 与 安全 相关 的 已 发 生 的 事件 日 志 , 即 列 出 每 一 个 事件 和 所 有 执 
行 过 添加 、 删除 或 改变 操作 的 用 户 。 显 然 , 需 要 保护 审计 日 志 不 被 外 界 访问 ,并且 记 录 所 有 
与 安全 相关 的 事件 。 

与 审计 日 志 精 简 紧 密 联 系 的 是 检测 安全 漏洞 的 能 力 ,理想 情况 下 是 在 它们 发 生 的 时 候 
就 被 检测 出 来 。 在 审计 日 志 中 有 太 多 的 信息 需要 去 分 析 。 计 算 机 有 助 于 将 独立 数据 联系 起 
来 。 入 侵 检 测 软件 构 造 了 正和 背 系 统 使 用 的 模式 ,一 旦 使 用 出 现 异 第 就 发 出 警告 。 检 测 的 基 
本 方法 有 基于 日 志和 基于 消息 认证 码 (Message Authentication Code,MAC) ,主动 监视 入 侵 
者 的 异 第 行为 , 且 能 触发 报警 。 


7.4.2 数据 库 系 统 安 全 


1. 数据 库 安 全 概述 


数据 库 系统 一 般 可 以 理解 成 两 部 分 : 一 部 分 是 数据 库 , 按 一 定 的 方式 存 取 数据 ; 男 一 部 
分 是 数据 库 管理 系统 (DBMS) ,为 用 户 及 应 用 程序 提供 数据 访问 ,并 具有 对 数据 进行 维护 等 
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多 种 功能 。 随 着 计算 机 在 社会 各 个 领域 的 广泛 应 用 ,信息 系统 中 的 数据 库 管理 系统 担负 着 
集中 人 处理 大 量 信息 的 使 命 ,但 是 数据 库 通 常 没有 像 操 作 系 统 和 网 络 那样 在 安全 性 上 受到 重 
视 。 数 据 完整 性 和 合法 存 取 会 受到 很 多 方面 的 安全 威胁 ,包括 对 数据 库 中 信息 的 穿 取 、 自 
改 和 破坏 ,计算 机 病毒 、 特 洛 伊 木马 等 对 数据 库 系 统 的 渗透 、 攻 击 , 系 统 后门 以 及 本 和 号 的 
安全 缺陷 等 ,这 些 都 严重 危害 着 信息 系统 的 安全 性 。 因 此 ,为 了 适应 现代 社会 信息 处 理 
的 要 求 ,政府 金融 及 国防 等 重要 部 门 中 的 信息 处 理 系统 ,包括 数据 库 系 统 , 必 须 具 备 可 
信 的 安全 性 。 

1) 数据 库 安 全 的 重要 性 

数据 库 系 统 也 是 一 种 系统 软件 ,和 其 他 软件 一 样 需 要 安全 保护 。 数 据 库 安 全 的 重要 性 
主要 体现 在 以 下 几 方 面 。 

(1) 保护 敏感 信息 和 数据 资产 。 大 多 数 企 业 .组 织 以 及 政府 部 门 的 电子 数据 都 保存 在 
各 种 数据 库 中 ,这 些 数据 库 用 来 保存 一 些 个 人 资料 ,如 员工 工资 .医疗 记录 、 员 工 个 人 资料 
等 。 数 据 库 服务 器 还 掌握 着 敏感 的 金融 数据 ,包括 交易 记录 商业 事务 和 账号 数据 ,战略 的 
或 者 专业 的 信息 ,如 专利 和 工程 数据 ,甚至 市 场 计 划 等 ,这 些 应 该 保护 起 来 ,以 防止 竞争 者 和 
其 他 非法 者 获取 资料 。 数 据 库 服务 大 还 可 能 保存 着 一 些 有 关 员 工 详细 资料 的 东西 ,如 银行 
账号 .信用 卡号 码 和 一 些 商 业 伙伴 的 资料 等 。 

(2) 数据 库 同 系统 紧密 相关 ,并 且 更 难 正 确 地 配置 和 保护 。 

数据 库 应 用 程序 通 第 都 同 操作 系统 的 最 高 管理 员 密 切 相 关 。 如 Oracle、 Sybase、SQL 
Server 数据 库 系统 都 有 相同 的 特点 : 用 户 账号 和 密码 、 认 证 系统 、 授 权 模块 和 数据 对 象 的 许 
可 控制 .内 置 命 令 ( 存 储 过 程 ) 特定 的 脚本 和 程序 语言 (通常 派生 自 SQL) 中 间 件 、 网 络 协 
议 、 补 丁 和 服务 包 、 数 据 库 管理 和 开发 工具 。 许 多 DBA 都 全 日 工作 来 管理 这 些 复杂 的 系 
统 。 但 是 ,安全 漏洞 和 不 当 的 配置 通 稼 会 造成 严重 的 后 果 ,而 且 难 以 发 现 。 一 些 安 全 公司 也 
忽略 数据 库 安全 ,数据 库 专家 又 不 把 安全 作为 主要 职责 。 

(3) 网 络 和 操作 系统 的 安全 被 认为 非常 重要 ,但 对 数据 库 服 务 需 却 不 如 此 。 

安全 专家 认为 只 要 把 网 络 和 操作 系统 的 安全 搞 好 了 ,那么 所 有 的 应 用 程序 也 就 安全 了 ，。 
事实 上 ,现在 的 数据 库 系 统 都 有 很 多 方面 被 误 用 或 者 存在 漏洞 影响 到 安全 。 这 些 关 系数 据 
库 都 提供 基于 TCP 的 端口 连接 ,表示 在 没有 设置 访问 控制 的 情况 下 ,任何 人 都 能 够 用 分 析 
工具 试图 连接 到 数据 库 上 ,而 绕 过 操作 系统 的 安全 机 制 ,如 Oracle 7.3 和 Oracle 8 使 用 的 端 
口 是 1521 和 1526。 多 数 数 据 库 系统 也 有 公开 的 默认 账号 和 默认 密码 。 这 两 个 特性 大 大 地 
危害 着 数据 库 的 安全 。 

(4) 少数 数据 库 安 全 漏洞 不 仅 威胁 数据 库 的 安全 ,也 威胁 到 操作 系统 和 其 他 可 信任 的 

数据 库 安 全 很 重要 ,有 些 数 据 库 提 供 的 机 制 威胁 着 网 络 安全 底层 。 例 如 , 某 公 司 的 数据 
库 里 面 保存 着 所 有 的 技术 文档 .手册 和 和 白皮书。 即使 运行 在 一 个 非常 安全 的 操作 系统 上 ,入 
侵 者 也 可 能 通过 数据 库 获得 操作 系统 权限 ,只 需要 执行 一 些 内 置 在 数据 库 中 的 扩展 存储 过 
程 即 可 。 这 些 存 储 过 程 能 提供 一 些 执行 操作 系统 命令 的 接口 ,而 且 能 访问 所 有 的 系统 资源 ， 
如 果 这 个 数据 库 服 务 器 还 同 其 他 服务 器 建立 着 信任 关系 ,入 侵 者 就 能 够 对 整个 域 机 器 的 安 
全 产生 严重 威胁 。 

(5) 用 户 对 数据 库 的 不 同 程度 的 操作 也 对 数据 库 造成 威胁 。 在 数据 库 中 ,由 于 数据 的 
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隐 余 度 小 ,修改 的 数据 几乎 无 法 恢复 。 因 此 必须 有 一 套数 据 库 恢 复 技 术 , 以 保证 在 系统 或 程 
序 出 现 故 障 后 ,帮助 恢复 数据 库 。 当 多 个 用 户 同 时 癌 数 据 库 进 行 存 取 操作 时 ,也 可 能 会 破坏 
数据 的 完整 性 。 

2) 数据 库 面临 的 安全 威胁 

凡是 造成 对 数据 库 内 存储 数据 (包括 敏感 . 非 敏 感 的 信息 ) 的 非 授 权 的 访问 (如 读 取 ) 或 
非 授 权 的 写 和 人 (如 增加 、 删 除 、 修改 等 ) ,原则 上 都 属于 对 数据 库 的 数据 安全 造成 了 威胁 或 破 
坏 。 男 外 , 几 是 正常 业务 需要 访问 数据 库 时 , 令 授 权 用 户 不 能 正常 得 到 数据 库 的 数据 服务 
时 ,也 认为 对 数据 库 的 安全 形成 了 威胁 或 破坏 。 因 为 这 两 种 情况 都 会 对 数据 库 合法 用 户 的 
权益 造成 侵犯 ,或 者 是 信息 的 被 罚 取 ,或 者 是 由 于 信息 的 破坏 而 形成 提供 错误 信息 的 服务 ， 
或 者 是 干脆 拒绝 提供 服务 。 

对 数据 库 安 全 的 威胁 或 侵犯 大 致 可 以 分 为 以 下 几 类 。 

(1) 偶然 的 、 无 意 的 侵犯 或 破坏 。 自 然 的 或 意外 的 事故 ,例如 地 震 、 水 灾 和 火灾 等 导致 
的 硬件 损坏 ,进而 导致 数据 的 损坏 和 丢失 。 

(2) 硬件 、 软 件 故障 或 错误 导致 的 数据 丢失 。 硬 件 、 软 件 故 障 或 错误 可 能 导致 系统 内 部 
的 安全 机 制 的 失效 ,也 可 能 导致 非法 访问 数据 或 系统 拒绝 提供 数据 服务 。 

(3) 人 为 的 失误 。 操 作 人 员 或 者 系统 的 直接 用 户 的 错误 输入 或 对 应 用 系统 的 不 正确 
使 用 。 

(4) 鞭 意 的 侵犯 或 敌意 的 攻击 。 授 权 用 户 可 能 滥用 其 权限 ,蓄意 穷 取 或 破坏 信息 。 

(5) 病毒 。 病 毒 可 以 自我 复制 ,永久 地 或 通常 是 不 可 恢复 地 破坏 自我 复制 的 现场 ,达到 
破坏 信息 系统 、 取 得 信息 甚至 使 对 方 丧 失 战 斗 力 的 目的 。 

(6) 特洛伊 木马 。 一 些 隐 藏 在 公开 的 程序 内 部 收集 环境 的 信息 ,可 能 是 由 授权 用 户 ( 不 
经 意 ) 安 装 的 ,利用 用 户 的 合法 权限 对 数据 的 安全 进行 攻击 。 

(7) 天 窗 、 隐 通道 。 藏 在 合法 程序 内 部 的 一 段 程序 代码 ,在 特定 的 条 件 下 (例如 特殊 的 
一 段 输 入 数据 ) 启 动 , 从 而 许可 此 时 的 攻击 可 以 跳 过 系统 设置 的 安全 机 制 进 入 系统 ,以 实现 
对 数据 防范 的 攻击 和 达到 禄 取 数 据 的 目的 。 

(8) 信息 的 非 正 常 扩 散 一 一 泄密 。 

(9) 由 授权 读 取 的 数据 ,通过 推论 得 到 不 应 访问 的 数据 。 

(10) 对 信息 的 非 正 常 修改 ,包括 破坏 数据 一 致 性 的 非法 修改 以 及 删除 。 

(11) 敌对 方 的 攻击 ,内 部 或 外 部 的 非 授 权 用 户 从 不 同 渠 道 进行 攻击 。 

(12) 敌对 方 对 软件 或 硬件 的 肆意 破坏 。 

(13) 绕 过 DBMS 直接 对 数据 进行 读 写 。 

(14) 其 他 。 通 过 各 种 途径 干扰 数据 库 管理 系统 的 正常 工作 状态 ,使 之 在 正当 用 户 提 出 
数据 请 求 时 ,不 能 随时 提供 数据 服务 。 

3) 数据 库 的 安全 需要 

面 对 数 据 库 的 安全 威胁 ,必须 采取 有 效 的 措施 ,以 满足 对 数据 安全 的 需求 。 数 据 的 安全 
可 分 为 逻辑 安全 与 物理 安全 两 类 。 数 据 的 物理 安全 是 指 在 不 改变 应 用 软件 的 前 提 下 ,改变 
物理 存储 特征 ,例如 存储 块 的 大 小 .存储 方法 .设备 能 力 等 。 数 据 的 逻辑 安全 是 指 在 不 改变 
现 有 程序 的 前 提 下 ,支持 新 的 应 用 或 现 有 数据 的 新 应 用 的 能 力 。 对 数据 库 系 统 的 一 个 重要 
要 求 是 保障 其 应 用 程序 的 数据 独立 性 ,包括 逻辑 数据 独立 性 和 物理 数据 独立 性 。 
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(1) 数据 库 的 安全 性 要 求 。 
数据 库 的 安全 性 要 求 如 表 7-5 所 示 。 


表 7-5 数据 库 的 安全 性 要 求 


安全 性 问题 注 释 
物理 上 的 数据 完整 性 预防 数据 库 数据 物理 方面 的 问题 ,如 掉 线 以 及 当 被 灾祸 破坏 后 能 重 
构 数 据 库 
逻辑 上 的 数据 完整 性 保持 数据 的 结构 ,如 一 个 字段 的 值 的 修改 不 至 于 影响 其 他 字段 
元 素 的 完整 性 包含 在 每 个 元 素 中 的 数据 是 准确 的 
可 审计 性 能 够 追踪 到 谁 访 问 过 或 修改 过 数据 库 的 元 素 
访问 控制 允许 用 户 只 访问 被 批注 的 数据 ,以 及 限制 不 同 的 用 户 有 不 同 的 访问 
模式 ,如 读 或 写 
人 确保 每 个 用 户 被 正确 识别 , 既 便 于 审计 追踪 ,也 为 了 限制 对 特定 的 数 
用 户 认 证 cs 
据 进行 访问 
可 获 用 性 用 户 一 般 可 以 访问 数据 库 以 及 所 有 被 允许 访问 的 数据 


@ 数据 库 完整 性 。 它 是 数据 库 管理 系统 (DBMS) ,操作 系统 (OS) 和 计算 机 管理 者 三 方 
面 应 负 的 责任 。 数 据 库 管理 程序 必须 进行 访问 控制 ,确保 只 有 授权 用 户 才 能 进行 数据 更 新 
或 删除 。 男 外 还 须 防 范 非 人 为 的 外 力 灾难 。 从 操作 系统 和 计算 机 管理 者 的 角度 看 ,数据库 
和 DBMS 分 别 是 文件 和 程序 ,要 保护 数据 库 的 完整 性 ,必须 定期 地 对 数据 库 文件 进行 备份 ， 
以 预防 因 灾 难 造成 的 损失 。 数 据 库 数据 的 完整 性 包括 物理 上 和 逻辑 上 的 数据 完整 性 两 种 。 

GO 元 素 的 完整 性 。 它 是 指数 据 库 元 素 的 正确 性 和 准确 性 。DBMS 要 能 帮助 用 户 发 现 
输入 时 的 错误 ,并 能 在 输入 错误 数据 后 及 时 纠正 它们 。DBMS 用 3 种 方式 维护 数据 库 中 每 
个 数据 元 素 的 完整 性 。 

。 字段 检查 。 可 防止 输入 数据 时 可 能 出 现 的 错误 。 

。 访问 控制 。 保 护 数据 库 的 完整 性 真实 性 和 一 致 性 。 

。 更 改 日 志 。 根 据 数据 库 每 次 改变 的 记录 文件 ,包括 记录 原来 的 值 和 修改 后 的 值 的 文 
件 ,数据 库 管 理 员 可 以 随时 撤销 任何 错误 的 和 非法 的 修改 。 

@) 可 审计 性 。 在 某 些 应 用 中 ,可 能 需要 产生 对 数据 库 的 所 有 访问 的 审计 记录 ,以 帮助 
在 事后 发 现 发 生 过 什么 事件 ` 何人 参加 .有 何 影响 等 ,以 协助 维护 数据 库 的 完整 性 。 数 据 库 
的 审计 踪迹 包括 对 记录 .字段 和 数据 元 素 一 级 的 访问 。 

@ 访问 控制 。DBMS 必须 批准 哪些 数据 可 以 访问 ,哪些 数据 禁止 访问 。 其 数据 可 以 是 
字段 ,也 可 以 是 记录 ,或 者 是 某 个 数据 元 素 。DBMS 可 批准 一 个 用 户 有 权 读 改变、 删除 或 
附加 一 个 值 ,还 可 以 增加 或 删除 整个 字段 或 记录 ,或 者 重新 组 织 数 据 库 。 

@) 用 户 认 证 。DBMS 应 严格 进行 用 户 身 份 识 别 和 认证 。DBMS 可 能 要 求 用 户 输 入 口 
令 和 时 间 日 期 ,以 做 检查 。 

(© 可 获 用 性 。 数 据 库 中 的 数据 并 不 是 任何 用 户 都 可 以 访问 的 。 例 如 ,一 个 用 户 在 更 新 
几 个 字段 时 ,其 他 的 用 户 对 这 几 个 字段 的 访问 请 求 便 被 禁止 。 当 更 新 完毕 时 ,其 他 用 户 对 这 
些 字 段 的 访问 权 即 可 获得 。 

表 7-6 列 出 了 数据 库 的 安全 功能 和 安全 过 程 。 


外 部 过 程 


通信 线路 


物理 环境 


数据 存储 


计算 机 硬 软件 
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表 7-6 数据 库 的 安全 功能 和 安全 过 程 


安全 功能 和 安全 过 程 
个 人 安全 许可 证 
口令 保护 
信息 等 级 和 安全 策略 规划 
监测 和 段落 处 理 
数据 加 密 
确定 文件 /处 理 者 /计算 机 终端 的 安全 区 
电磁 辐射 的 屏蔽 和 防 泄漏 
数据 加 密 
数据 备份 (复制 ) 
用 户 授权 , 存 取 控制 ,监视 记录 ,数据 的 痕迹 ,内 容 保护 ,设立 特权 状态 ,提高 计算 机 软 
硬件 的 可 靠 性 


(2) 数据 库 的 安全 需求 。 
为 了 维护 数据 库 的 安全 ,客观 上 需要 一 个 安全 的 操作 系统 和 一 个 运行 可 徘 的 数据 库 管 


理 系 统 。 


J 对 操作 系统 的 安全 需求 。 

。 应 能 防止 对 DBMS 和 用 户 程 序 的 非法 修改 。 

。 应 能 保护 存储 器 中 的 数据 不 被 非法 修改 。 

。 应 能 保护 数据 ,使 其 中 的 数据 安全 完整 。 

。 应 能 认证 数据 库 的 合法 用 户 , 当 非 法 用 户 进 入 时 能 及 时 报警 。 
。 应 能 正确 地 进行 物理 1/O 操作 。 

Q 对 数据 库 管理 系统 的 要 求 。 

数据 库 的 安全 需要 一 个 可 供 运 行 的 .可 靠 的 DBMS ,要 求 如 下 。 

。 有 正确 的 编译 功能 ,能 正确 地 进行 规定 的 操作 。 

。 能 提供 正确 的 系统 变量 值 ,正确 地 执行 命令 文件 。 


能 保证 数据 的 安全 性 与 完整 性 ,能 抵御 物理 破坏 (例如 因 突 然 断 电 或 其 他 灾害 造成 


的 损失 ) ,能 维护 数据 库 人 逻辑 的 完整 性 ,能 恢复 数据 库 中 的 内 容 , 对 数据 元 素 的 修改 
不 影响 其 他 数据 。 


能 进行 用 户 识别 和 访问 控制 ,限制 用 户 只 能 访问 被 授权 的 数据 ,对 不 同 的 用 户 限 制 


在 不 同 的 状态 下 进行 访问 。 


用 户 能 顺利 地 访问 数据 库 中 授权 的 数据 和 一 般 的 数据 ,不 会 出 现 拒绝 服务 的 情况 ， 


并 能 进行 安全 的 通信 。 
4) 数据 库 的 安全 技术 
数据 库 的 安全 技术 主要 有 口令 保护 .数据 加 密 .数据 库 加 密 和 数据 库 的 访问 控制 。 
(1) 口令 保护 。 口 令 设 置 是 信息 系统 的 第 一 道 屏 障 , 口 令 保 护 尤 其 重要 。 对 数据 库 的 
不 同 功能 块 应 设置 不 同 的 口令 ,对 存 取 它 的 用 户 应 设置 不 同 的 口令 级 别 。 各 种 模块 (如 读 模 
块 写 模块 和 修改 模块 等 ) 之 间 的 口令 应 彼此 独立 ,并 且 应 将 口令 进行 加 密 , 以 保护 数据 安全 。 
现在 ,有 一 种 口令 管理 方式 能 在 最 大 程度 上 确保 使 用 者 是 合法 用 户 ,这 种 口令 管理 方 称 
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为 零 知 识 证 明 ,简称 零 式 方式 。 这 种 方式 对 一 个 真正 的 被 授权 用 户 来 说 ,其 口令 不 可 能 被 冒 
充 、 复 制 或 破坏 。 在 进行 用 户 和 号 份 验证 时 ,不 用 提供 可 能 为 镭 听 者 使 用 或 计算 口令 所 用 的 任 
何 信息 。 零 式 方式 的 关键 是 必须 有 一 个 绝对 可 靠 的 数据 库 系统 安全 管理 员 , 当 一 个 用 户 将 
进入 系统 时 ,安全 员 需 对 其 身份 进行 验证 。 具 体 的 工作 步骤 如 下 。 

QD 用 户 获 取 一 个 随机 数 , 并 使 其 与 自己 所 持 的 密 钥 一 并 处 理 , 将 结果 传送 给 数据 库 安 
全 管理 员 。 

@ 数据 库 安全 管理 员 获 取 一 个 随机 数 , 并 将 此 数字 传送 给 用 户 。 

G) 用 户 将 此 随机 数 同 自己 的 密 钥 一 并 人 处理, 并 将 其 结果 上 青 一 次 传送 给 数据 库 安全 管 
理 


30 


@ 数据 库 安 全 管理 员 检 查 这 个 回答 是 否 正 确 。 若 正确 , 则 减少 对 用 户 真 实 身 份 一 半 的 
怀疑 ;如 果 不 正 确 , 则 停止 用 户 的 进一步 活动 。 

以 上 4 个 步骤 可 连续 重复 几 十 次 ,如 20 一 30 次 ,如 果 每 次 回答 均 正 确 , 则 数据 库 安 全 管 
理 员 对 用 户 身 份 的 怀疑 可 减少 到 零 。 这 时 ,该 用 户 便 被 确认 为 合法 用 户 。 

(2) 数据 加 密 。 考 虑 到 用 户 可 能 试图 劳 路 系统 的 情况 ,如 物理 地 取 走 数据 .在 通信 线路 
上 和 完 听 ,对 这 样 的 威胁 最 有 效 的 解决 方法 就 是 数据 加 密 , 即 以 加 密 格 式 存 储 和 传输 敏感 数 
据 。 关 于 数据 加 密 原 理 、 加密 算法 详 见 7.1 节 。 

(3) 数据 库 加 密 。 数 据 库 系 统 担 负 着 存储 和 管理 关键 业务 数据 和 信息 的 任务 。 如 何 保 
证 和 加 强 数据 库 系 统 的 安全 性 和 保密 性 ,是 每 个 信息 系统 都 必须 解决 的 重要 课题 。 一 般 而 
言 ,数据 库 系统 提供 的 基本 安全 技术 能 够 满足 一 般 应 用 的 要 求 。 但 对 于 一 些 重要 部 门 或 敏 
感 领域 的 应 用 , 仅 千 上述 这 些 措 施 是 难以 充分 保证 数据 的 安全 性 的 。 

某 些 用 户 ,尤其 是 一 些 内 部 用 户 , 仍 可 能 非法 获取 用 户 名 ,口令 字 , 或 利用 其 他 方法 越权 
使 用 数据 库 , 甚 至 可 以 直接 打开 数据 库 文 件 来 锚 取 或 自 改 信息 。 因 此 ,有 必要 对 数据 库 中 存 
储 的 重要 数据 进行 加 密 处 理 , 以 强化 数据 存储 的 安全 保护 。 

数据 库 的 加 密 方式 很 多 , 既 可 以 软件 加 密 ,也 可 以 硬件 加 密 。 软 件 加 密 可 以 采用 库 外 加 
密 , 也 可 以 采用 库 内 加 密 。 库 外 加 密 方 式 即 采用 文件 加 密 的 方法 , 它 把 数据 库 作 为 一 个 文 
件 , 把 每 一 个 数据 块 当 作 文件 的 一 个 记录 进行 加 密 。 文 件 系 统 与 数据 库 管理 系统 交换 的 就 
是 块 号 。 库 内 加 密 按 加 密 的 程度 ,可 以 进行 记录 加 密 , 也 可 以 进行 字段 加 密 , 还 可 以 对 数据 
元 素 进 行 加 密 。 数 据 元 素 加 密 时 ,每 个 元 素 被 当 作 一 个 文件 进行 加 密 。 硬 件 加 密 是 在 物理 
存储 器 (磁盘 ) 与 数据 库 文件 之 间 加 一 个 人 硬件 装置 ,使 之 与 实际 的 数据 库 脱 离 ,加密 时 只 对 某 
一 磁盘 上 的 数据 加 密 。 

与 传统 的 数据 加 密 技 术 相 比 ,数据 库 密码 系统 有 其 自身 的 要 求 和 特点 。 一 般 数据 库 的 
数据 以 原始 形式 存放 在 数据 库 内 ,因此 对 于 计算 机 专家 ,特别 是 数据 库 厂家 和 专家 或 者 有 意 
攻击 者 来 说 基本 上 是 透明 的 。 只 要 通过 简单 分 析 即 可 获得 数据 的 本 来 形式 ,这 是 数据 库 系 
统 的 一 个 严重 的 不 安全 因素 , 即 所 调 数据 以 原始 形式 一 一 可 读 形式 存放 在 数据 库 中 。 不 仅 
是 信息 泄露 问题 ,而且 数据 的 可 信和 度 也 成 问题 ,数据 的 真实 性 无 法 核实 。 除 了 在 数据 处 理 和 
传输 过 程 中 进行 访问 控制 .加 密 处 理 之 外 ,最 好 是 对 存储 在 数据 库 内 的 数据 也 进行 加 密 处 
理 , 这 对 于 保证 数据 库 数据 的 保密 性 和 真实 性 是 非常 重要 的 。 

(4) 数据 库 的 访问 控制 。 数 据 库 系 统 可 以 允许 数据 库 管理 员 和 有 特定 访问 权限 的 用 户 
有 选择 地 动态 地 把 访问 权 授 予 其 他 用 户 ; 如 果 需 要 ,也 可 以 收回 这 些 权 利 。 这 些 权 利 存 在 
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一 张 访问 控制 表 中 。 

当 一 个 新 的 用 户 需 要 访问 数据 库 资 源 时 ,首先 由 数据 库 管 理 人 员 或 数据 库 拥有 者 对 该 
用 户 进 行 注 册 , 给 该 用 户 分 配 一 个 口令 ,并 授予 其 访问 相应 系统 资源 的 权利 。 然 后 ,由 该 用 
户 输 入 注册 口令 。 奢 口令 正确 ,就 可 以 使 用 该 数据 库 资 源 。 硅 未 经 授权 ,任何 用 户 都 不 能 使 
用 该 数据 库 资 源 。 

为 了 增加 数据 库 的 安全 性 ,可 以 随时 更 改 用 户 的 口令 。 这 样 ,不 仅 增加 了 用 户 的 安全 
感 , 也 增强 了 系统 的 保密 性 。 


7.5 应 用 安全 


7.5.1 Web 安全 


随 着 Web 2.0 .社交 网 络 、 微 博 等 一 系列 新 型 互联 网 产品 的 诞生 ,基于 Web 环境 的 互联 
网 应 用 越 来 越 广泛 ,例如 企业 在 信息 化 的 过 程 中 将 各 种 应 用 都 架设 在 了 Web 平台 上 。Web 
业务 的 迅速 发 展 也 引起 了 黑客 们 的 强烈 关注 , 接 叶 而 至 的 就 是 Web 安全 威胁 的 凸显 。 黑 客 
利用 网 站 操作 系统 的 漏洞 和 Web 服务 程序 的 SQL 注入 漏洞 等 得 到 Web 服务 器 的 控制 权 
限 , 轻 则 复 改 网 页 内 容 , 重 则 禄 取 重 要 内 部 数据 ,更 为 严重 的 则 是 在 网 页 中 植 人 恶意 代码 ,使 
得 网 站 访问 者 受到 侵害 。 这 也 使 得 越 来 越 多 的 用 户 关注 应 用 层 的 安全 问题 ,对 Web 应 用 安 
全 的 关注 度 也 逐渐 升温 。 

下 面 对 一 些 常 见 的 Web 应 用 安全 隐患 及 其 防范 方法 做 简单 介绍 。 

1. SQL 注入 攻击 

SQL 注入 (SQL injection) 攻 击 简 称 注 入 攻击 ,是 发 生 于 应 用 程序 的 数据 库 层 的 安全 漏 
洞 。 简 而 言 之 ,是 在 输入 的 字符 串 之 中 注入 SQL 指令 ,在 设计 不 良 的 程序 当中 忽略 了 检查 ， 
那么 这 些 注入 进去 的 指令 就 会 被 数据 库 服 务 器 误 认 为 是 正常 的 SQL 指令 而 运行 ,因此 数据 
库 遭 到 破坏 或 入 侵 。 

有 部 分 人 认为 SQL 注入 攻击 是 只 针对 Microsoft SQL Server 而 来 ,但 只 要 是 支持 批 处 
理 SQL 指令 的 数据 库 服务 硕 , 都 有 可 能 受到 此 种 手法 的 攻击 。 

预防 方法 如 下 。 

(1) 严格 限制 Web 应 用 的 数据 库 的 操作 权限 ,给 此 用 户 提 供 仅 仅 能 够 满足 其 工作 的 最 
低 权 限 ,从 而 最 大 限度 地 减少 注入 攻击 对 数据 库 的 危害 。 

(2) 检查 输入 的 数据 是 否 具 有 所 期 望 的 数据 格式 ,严格 限制 变量 的 类 型 ,例如 使 用 
regexp 包 进 行 一 些 匹 配 处 理 , 或 者 使 用 strconv 包 对 字符 串 转 换 成 其 他 基本 类 型 的 数据 进 
行 判 断 。 

(3) 对 进入 数据 库 的 特殊 字符 (、 人 过、 地、 必 、*、 等) 进行 转 义 处 理 或 进行 编码 

(4) 对 所 有 的 查询 语句 ,建议 使 用 数据 库 提供 的 参数 化 查询 接口 。 参 数 化 的 语句 使 用 
参数 而 不 是 将 用 户 输 入 的 变量 做 入 到 SQL 语句 中 , 即 不 要 直接 拼接 SQL 语句 ,例如 使 用 
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Database/ SQL 里 面 的 查询 曙 数 Prepare() 和 Query() ,或 者 Exec(Cquery string，args . . . 
interface{ } ) 。 

(5) 在 应 用 发 布 之 前 建议 使 用 专业 的 SQL 注入 检测 工具 进行 检测 ,以 及 时 修补 被 发 现 
的 SQL 注入 漏洞 。 网 上 有 很 多 这 方面 的 开源 工具 ,例如 sqlmap、SQLninja 等 。 

(6) 避免 网 站 打印 出 SQL 错误 信息 ,如 类 型 错误 .字段 不 匹配 等 ,把 代码 里 的 SQL 语 
句 皮 露 出 来 ,以 防止 攻击 者 利用 这 些 错误 信息 进行 SQL 注入 。 

2. 跨 站 脚本 攻击 


跨 站 脚本 (Cross-Site Scripting， XSSD) 攻 击 是 一 种 网 站 应 用 程序 的 安全 漏洞 攻击 ,是 
代码 注入 的 一 种 。 它 允许 恶意 用 户 将 代码 注入 网 页 上 ,其 他 用 户 在 观看 网 页 时 就 会 受到 影 
响 。 这 类 攻击 通常 包含 了 HTML 以 及 用 户 端 脚本 语言 。 

XSS 攻击 通常 指 的 是 通过 利用 网 页 开发 时 留 下 的 漏洞 ,通过 巧妙 的 方法 注入 恶意 指令 
代码 到 网 页 ,使 用 户 加 载 并 执行 攻击 者 恶意 制造 的 网 页 程序 。 这 些 恶 意 网 页 程序 通常 是 
JavaScript, 但 实际 上 也 可 以 包括 Java、VBScript、ActiveX、Flash 甚至 是 普通 的 HTML。 攻 
击 成 功 后 ,攻击 者 可 能 得 到 更 高 的 权限 (如 执行 一 些 操 作 ) 私密 网 页 内 容 、 会 话 和 Cookie 等 
各 种 内 容 。 

预防 方法 如 下 。 

(1) 过 滤 特 殊 字 符 。 避 免 XSS 攻击 的 方法 之 一 是 将 用 户 所 提供 的 内 容 进行 过 滤 。 

(2) 使 用 HTTP 头 指 定 类 型 。 使 用 '"w. Header (). Set ("Content-Type"," text/ 
javascript"”) ,就 可 以 让 浏览 硕 解 析 JavaScript 代码 ,而 不 会 是 以 HTML 输出 。 

3. 非法 文件 上 传 


MIME 在 互联 网 可 以 用 来 标识 文件 的 类 型 ,如 . png 文件 的 MIME 是 image/png,. php 
文件 的 MIME 是 text/plain。 写 过 程序 的 人 都 知道 ,上 月 己 在 上 传 文件 的 时 候 为 了 安全 , 通 篆 
会 使 用 MIME 来 判定 一 个 文件 的 类 型 。 

预防 方法 如 下 。 

(1) 客户 端 验证 。 客 户 端 使 用 JavaScript 检测 ,在 文件 上 传 时 ,就 对 文件 进行 验证 。 

(2) 服务 器 端 检 测 。 服 务 器 端 脚本 一 般 会 检测 文件 的 MIME 类 型 .文件 扩展 名 ,其 至 
可 以 检测 文件 中 是 否 租 入 恶意 代码 。 

4. 越权 访问 

越权 访问 漏洞 又 可 以 分 为 平行 越权 访问 漏洞 与 垂直 越权 访问 漏洞 两 类 。 平 行 越权 访问 
漏洞 指 的 是 权限 平 级 的 两 个 用 户 之 间 的 越权 访问 ; 垂直 越权 访问 漏洞 指 的 是 权限 不 等 的 两 
个 用 户 之 间 的 越权 访问 。 

预防 方法 如 下 。 

(1) 水 平权 限 攻 击 。 从 用 户 的 加 密 认 证 Cookie 中 获取 当前 用 户 id, 并 且 在 执行 的 SQL 
语句 中 加 入 当前 用 户 id 作为 条 件 语句 。 由 于 Cookie 是 加 密 的 ,所 以 攻击 者 无 法 修改 加 密 
息 。 


@ 跨 站 脚本 为 了 避免 与 CSS 相 混 消 ,所 以 简称 为 XSS。 
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(2) 垂直 权限 攻击 。 在 每 个 页 面 的 加 载 之 前 进行 权限 验证 即 可 。 一 个 普通 的 权限 系 
统 ,菜单 是 通过 数据 库 中 对 应 权限 和 和 角色 来 进行 字符 串 拼接 形成 的 ,而 不 是 静态 地 通过 在 页 
面 上 进行 权限 判断 决定 的 。 


7.5.2 电子 邮件 安全 


随 着 因特网 的 发 展 ,电子 邮件 作为 一 种 通信 方式 逐渐 普及 。 当 前 电子 邮件 的 用 户 已 经 
从 科学 和 教育 行业 发 展 到 普通 家 庭 中 的 用 户 , 电 子 邮 件 传递 的 信息 也 从 普通 文本 信息 发 展 
到 包含 声音 、 图 像 在 内 的 多 媒体 信息 。 随 着 用 户 的 增多 和 使 用 范围 的 逐渐 扩大 ,保证 邮件 本 
号 的 安全 以 及 电子 邮件 对 系统 安全 性 的 影响 越 来 越 重 要 。 

电子 邮件 在 因特网 上 传输 ,从 一 台 计 算 机 传输 到 男 一 台 计 算 机 。 在 电子 邮件 所 经 过 的 
网 络 上 的 任 一 系统 管理 员 或 黑客 部 有 可 能 截获 和 更 改 该 邮件 ,其 至 伪造 某 人 的 电子 邮件 。 
与 传统 邮政 系统 相 比 ,电子 邮件 与 密封 邮寄 的 信件 并 不 相像 ,而 与 明信片 更 为 相似 。 因 此 电 
子 邮 件 本 身 的 安全 性 是 以 邮件 经 过 的 网 络 系统 的 安全 性 和 管理 人 员 的 诚实 、 对 信息 的 漠 不 
关心 为 基础 的 。 

邮件 本 身 的 安全 首先 要 保证 邮件 不 被 无 关 的 人 窃取 或 更 改 , 同 时 接收 者 也 必须 能 确定 
该 邮件 是 由 合法 发 送 者 发 出 的 。 针 对 电子 邮件 采用 的 安全 技术 主要 是 加 密 技 术 , 但 当前 还 
没有 安全 电子 邮件 的 正式 标准 。 重 要 的 标准 草案 有 S/MIME、PGP 和 PEM。 

1. S/MIME 

S/MIME(Secure/Multipurpose Internet Mail Extension) 由 RSA 算法 专利 的 拥有 者 
RSA 数据 安全 公司 所 制定 ,使 用 X509 标准 的 树 状 认证 结构 。 这 个 标准 得 到 了 Microsoft 
和 Netscape 等 大 多 数 商业 公司 的 文 持 ,并 将 很 快 得 到 IETF 承认 。S/MIME 提供 的 功能 
如 下 。 

(1) 封装 数据 。 加 密 内 容 和 加 密 密 钥 。 

(2) 签名 数据 。 发 送 者 对 消息 进行 签名 ,并 用 私 钥 加 密 , 对 消息 和 签名 都 使 用 Base64 
编码 ,签名 后 的 消息 只 有 使 用 S/MIME 的 接收 者 才能 阅读 。 

(3) 透明 签名 数据 。 发 送 者 对 消息 签名 ,但 只 有 签名 使 用 Base64 编码 ,接收 者 即使 没 
有 使 用 S/MIME, 也 可 以 阅读 消息 内 容 , 但 不 能 验证 签名 。 

(4) 签名 和 封装 数据 。 加 密 后 的 数据 可 以 再 签名 ,签名 和 透明 签名 过 的 数据 可 以 再 加 
密 。S/MIME 所 使 用 的 密码 算法 有 SHA、MD5、DSS、RSA 、Diffie-Hellman、RC2 和 
DES 等 。 

2. PGP 


美国 人 Phil Zimmermann 提出 的 PGP(Pretty Good Privacy) 是 一 种 混合 密码 系统 , 包 
含 4 个 密码 单元 , 即 分 组 密码 (IDEA、CAST、3DES) ,公开 密码 (CDiffie-Hellman、RSA、 
DSS) , 单 癌 散 列 算法 (SHA 、MD5) 和 一 个 随机 数 发 生 算法 。 可 以 用 PGP 对 邮件 保密 ,以 防 
止 非 授 权 者 阅读 ,还 能 对 邮件 加 上 数字 签名 ,从 而 使 收 信人 可 以 确信 邮件 是 谁 发 来 的 。 它 让 
用 户 可 以 安全 地 和 从 未 见 过 的 人 通信 ,事先 并 不 需要 任何 保密 的 渠道 用 来 传递 密 钥 。 

PGP 的 优点 在 于 把 RSA 公 钥 密码 系统 的 方便 和 传统 密码 系统 的 高 速度 结合 起 来 ,并 
日 在 数字 签名 和 和 密 钥 的 认证 管理 机 制 上 有 巧妙 的 设计 ,因此 PGP 成 为 几乎 最 流行 的 公 钥 加 
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密 软 件 包 ,PGP 提供 5 种 功能 : 鉴别 .保密 性 ` 压 缩 `E-Mail 兼容 性 和 分 段 功能 ,如 表 7-7 
所 示 。 

表 7-7 PGP 的 安全 功能 


功 能 使 用 的 算法 说 明 


用 MD5 或 SHA 对 消息 散 列 并 用 发 送 者 的 私 钥 加 


发 送 者 产生 一 次 性 会 话 密 钥 , 用 会 话 密 钥 以 


IDEA、 CAST、3DES、 Difte- 


保密 性 ei IDEA、CAST 或 3DES 加 密 消 息 , 并 用 接收 者 的 公 
钥 以 Diffie-hellman 或 RSA 加 密会 话 密 钥 
压缩 使 用 ZIP 压缩 消息 ,以 便于 存储 和 运输 
对 E-Mail 应 用 提供 透明 性 ,将 加 密 消息 用 
0 
oo Radix64 变换 成 ASCII 字符 串 
分 段 功能 ”| 为 适应 最 大 消息 长 度 限 制 ,PGP 实行 分 段 并 重组 


1) 鉴别 

鉴别 即使 用 数字 签名 ,所 使 用 的 协议 如 下 。 

(1) 发 送 者 编制 消息 M。 

(2) 用 SHA 或 MD5 产生 一 个 128 位 的 散 列 值 H。 

(3) 用 发 送 者 的 RSA 或 DSS 私 钥 对 H 签名 。 

(4) 将 MI|IH 经 Z 压缩 变换 后 发 送 。 

(5) 接收 者 将 接收 的 数据 进行 逆 变 换 , 并 用 发 送 者 公 钥 解密 出 H。 

(6) 对 M 计算 散 列 值 ,与 H 进行 比较 以 验证 签名 。 

2) 保密 性 

采用 128 位 密 钥 的 IDEA 算法 (可 用 CAST-128 或 3DES),64 位 CFB 模式 ,初始 向 量 
为 全 去 。 会 话 密 钥 一 次 性 使 用 ,所 使 用 协议 如 下 。 

(1) 发 送 者 产生 消息 M 和 128 位 会 话 密 钥 。 

(2) 用 会 话 密 钥 ,使 用 IDEA、CAST-128 或 3DES 对 经 Z 压缩 后 的 M 加 密 。 

(3) 用 接收 者 的 公 钥 ,使 用 RSA 或 Diffie-Hellman 解密 得 到 加 密 该 会 话 密 钥 。 

(4) 接收 者 用 会 话 密 钥 ,使 用 IDEA、.CAST-128 或 3DES 解密 并 解压 缩 得 到 M。 

PGP 可 以 同时 提供 保密 性 和 鉴别 。 它 采用 先 签名 后 加 密 的 方法 ,其 优点 在 于 存储 消息 
明文 的 签名 较为 方便 ,第 三 方 公 证 时 ,无 须知 道 通信 双方 所 使 用 的 会 话 密 钥 。 

3) 压缩 

压缩 可 以 节省 通信 时 间 和 存储 空间 ,而 且 在 加 密 前 压缩 ,可 以 增强 加 密 效 果 。PGP 中 
采用 PKZIP 算法 。 

4) E-Mail 兼容 性 

PGP 在 保密 性 或 鉴别 功能 下 ,输出 的 结果 都 是 加 密 数 据 , 即 输出 中 的 部 分 或 全 部 为 8 位 
串 。 许 多 E-Mail 系统 只 允许 使 用 ASCII 文本 。 为 此 PGP 采用 Radix64 变换 ,将 8 位 串 变 
为 可 打印 的 ASCII 字符 串 。 
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5) 分 段 

E-Mail 对 消息 长 度 都 有 限制 ,例如 不 超过 50KB。 当 消息 大 于 此 值 时 ,PGP 将 对 其 自动 
分 段 。 分 段 在 所 有 处 理 之 后 进行 , 故 会 话 密 钥 和 签名 只 在 第 一 段 开 始 部 分 出 现 。 在 接收 时 
PGP 将 各 段 日 动 重组 成 原来 的 消息 。 

3. PEM 

PEM(Privacy Enhanced Mail) 是 为 E-Mail 应 用 提供 一 个 有 关 安 全 的 Internet 标准 建 
议 草案 ,一 般 不 与 Internet 标准 SMTP(Simple Mail Transfer Protocol) 结 合 使 用 。PEM 可 
广泛 用 于 电子 邮递 ,包括 X. 400。PEM 意图 使 密 钥 管理 方法 有 广泛 的 适用 性 ,人 允许 用 对 称 
或 公开 密码 体制 实现 。 但 实用 以 来 ,多 采用 公开 密码 体制 。 

PEM 由 下 述 4 个 RFC 文件 规定 ,并 于 1993 年 发 布 了 最 后 文本 。 

(1) RFC1421,Internet 中 的 PEM: 第 I 部 分 ,消息 加 密 和 认证 方法 。 

(2) RFC1422,Internet 中 的 PEM: 第 开 部 分 ,基于 证 书 的 密 钥 管理 。 

(3) RFC1423 ,Internet 中 的 PEM: 第 焉 部 分 ,算法 、 模 型 和 识别 符 。 

(4) RFC1424,Internet 中 的 PEM: 第 从 部 分 , 密 钥 证 实 和 有 关 服 务 。 

这 些 RFC 文件 由 属于 IETF 的 PEM 工作 组 负责 ,而 后 者 又 属于 IAB(Internet 
Architecture Board)。 自 1985 年 开始 工作 ,由 IAB 的 Privacy and Security Research Group 
负责 起 草 工 作 。 

PEM 的 安全 功能 具有 机 密 性 .数据 源 认 证 .消息 完整 性 和 不 可 抵赖 性 。PEM 不 文 持 一 
些 与 安全 有 关 的 服务 ,如 访问 控制 .业务 流量 保密 、 路 由 控制 \ 有 关 多 个 用 户 使 用 同一 计算 机 
的 安全 问题 消息 回执 和 对 回执 的 不 可 抵赖 .与 所 查 消 息 目 动 关联 消息 副本 检测 、 防 止 重 放 
或 其 他 面向 数据 流 的 服务 。 

1) 密码 算法 

PEM 中 的 密码 算法 如 表 7-8 所 示 。 


表 7-8 PEM 中 的 密码 算法 


9 涪 
a ; 
a el 进行 散 列 ,用 发 送 者 密 钥 按 RSA 加 密 
单 钥 密 钥 管理 > DES-ECB 或 DES-EDE(3DES) 加 密 , 和 消息 
E-Mail 兼容 性 ec Radix64 


PEM 提供 了 应 用 不 同 密码 算法 的 格式 ,具有 灵活 性 。 和 MD2 与 MD5 一 样 , 散 列 值 均 
为 128 位 。DES-EDE 是 ANSIX9. 17 建议 的 3DES 应 用 模式 (加 密 、 解 密 、 加 密 ), 密 钥 为 
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56 x* 2 位 。 

2) PEM 中 的 密 角 

表 7-9 中 的 MIC 为 消息 完整 性 人 码 (Message Integrity Code), IK(Inter Change Key) 为 
收发 共享 密 钥 或 公 钥 体制 的 公开 私有 密 钥 对 ,DEK(Data Encryption key) 为 一 次 性 会 话 


表 7-9 PEM PEM 中 的 密 钥 用 途 


对 称 密 钥 管理 公开 密 钥 管理 
用 于 加 密 的 数据 加 密 密 钥 (DEK) 消息 文本 、 签 署 的 MIC 表示 消息 文本 


用 于 加 密 的 交换 密 钥 (IK) DEK .MIC 
发 布 人 用 于 加 密 的 单 钥 公 钥 证 书 、 散 列 值 发 布 人 用 于 加 密 的 单 钥 


3) PEM 消息 发 送 和 接收 过 程 
消息 发 送 处 理 分 4 步 , 如 图 7-1 所 示 。 


变换 成 可 打印 码 格 式 
7-1 消息 发 送 处 理 


(1) 将 消息 交换 成 典型 格式 ,以 适应 兼容 性 和 完整 性 要 求 。 

(2) 产生 消息 完整 性 和 鉴别 消息 。 

(3) 对 消息 加 密 ( 可 选 ) 。 

(4) 将 其 变换 成 可 打印 码 格 式 ( 可 选 ) 。 

PEM 的 典型 格式 (canonical form) 由 消息 头 字 段 指明 , 称 其 为 内 容 域 字段 Ccontent- 
domain field) ,目前 采用 SMTP 的 RFC 822 中 规定 的 格式 。 

(1) 消息 可 由 7 位 ASCII 码 中 的 任何 字符 组 成 ,所 有 输入 字符 均 被 变换 为 ASCII 码 ,每 
个 7 位 码 被 安排 在 8 位 的 后 7 位 ,最 左 位 置 为 “0”。 

(2) ASCII 的 < CR ><LF > 序列 用 于 限定 行 的 终点 。 

(3) 报 文 每 行 最 长 含 < CR >< LF > 在 内 ,为 1000 个 字符 。 大 于 此 值 的 行将 用 < CR > 
<LF > 隔 开 。 

PEM 的 完整 性 和 鉴别 , 即 对 典型 格式 用 整个 消息 计算 其 MIC, 此 计算 可 用 对 称 或 公开 
密码 体制 实现 。 
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安全 体系 的 设计 及 建设 ,安全 机 制 应 该 被 放置 在 计算 机 系统 的 哪 一 个 层次 上 是 必须 要 
考虑 的 问题 。 设 计 者 的 任务 就 是 为 每 一 个 机 制 寻 找 合适 的 层次 ,以 及 为 每 一 个 层次 寻找 全 
适 的 机 制 。 本 章 详 细 介 绍 了 从 应 用 安全 到 数据 安全 的 内 容 ,也 就 是 在 不 同 的 层次 上 采用 不 
同 的 保护 机 制 , 从 而 增加 攻击 者 被 检测 到 的 概率 以 及 降低 攻击 者 的 成 功 概率 。 


站 是 


. 常用 的 密码 加 密 算 法 有 哪些 ? 

. 简 述 安全 协议 的 定义 。 

. 可 信 软 件 的 判断 标准 是 什么 ? 

. 网 络 攻 击 的 特点 有 哪些 ? 

. 安全 操作 系统 的 安全 等 级 划分 是 什么 ? 
. 数据 库 的 安全 需要 是 什么 ? 

. Web 站 点 的 安全 措施 有 哪些 ? 

. 常见 的 后 门 有 哪些 ? 


co 填写 一 


第 8 革 信息 安全 事件 应 总 处 理 与 灾难 恢复 


本 章 学 习 目 标 : 
。 了 解 信 息 安 全 事件 的 基本 概念 。 
。 了 解 信 息 安 全 事件 应 急 处 理 与 灾难 恢复 的 过 程 。 


8.1 信息 安全 事件 


8.1.1 信息 安全 事件 的 定义 


计算 机 系统 常常 会 受到 影响 ,从 数据 文件 损坏 到 病毒 ,再 到 卓然 灾害 ,或 者 因 日 然 灾 害 
导致 的 停电 ,还 有 一 些 由 恶意 的 技术 活动 (如 创建 病毒 或 系统 黑客 ) 导 致 的 破坏 事件 。 

计算 机 安全 事件 可 能 由 计算 机 病毒 、 其 他 恶意 代码 、 内 部 或 外 部 的 系统 入 侵 者 导致 。 它 
可 以 特 指 那些 在 没有 技术 专家 啊 应 时 会 造成 严重 损害 的 事件 。 计 算 机 安全 事件 这 种 定义 的 
不 确定 性 太 强 ,在 不 同 的 机 构 或 计算 环境 中 所 表示 的 可 能 会 有 所 不 同 。 

2007 年 6 月 14 日 4 信息 安全 技术 信息 安全 事件 分 类 分 级 指南 (GB/Z 20986 一 2007)》 
(以 下 简称 《安全 事件 分 类 分 级 指南 )) 正 式 发 布 。《 安 全 事件 分 类 分 级 指南 ) 为 重要 信息 系统 
和 基础 信息 网 络 的 运营 和 使 用 单位 以 及 信息 安全 主管 部 门 处 理 信 息 安 全 事件 提供 了 “事前 
准备 、 事 中 应 对 、 事 后 人 处理” 的 基础 指南 ,促进 了 各 单位 信息 安全 事件 信息 的 交流 和 共享 , 提 
高 了 信息 安全 事件 通报 和 应 急 啊 应 的 自动 化 程度 和 效率 。 在 《安全 事件 分 类 分 级 指南 ) 中 分 
别 对 信息 系统 (information system) 以 及 信息 安全 事件 (information security incident) 的 概 
念 进行 了 定义 。 

信息 系统 是 由 计算 机 及 其 相关 的 和 配套 的 设备 .设施 ( 含 网 络 ) 构 成 的 ,按照 一 定 的 应 用 
目标 和 规则 对 信息 进行 采集 .加 工 、 存储、 传输 、 检 索 等 处 理 的 人 机 系统 。 

信息 安全 事件 是 由 于 自然 或 者 人 为 以 及 软 人 硬件 本 喘 缺 陷 或 故障 的 原因 ,对 信息 系统 造 
成 危害 ,或 对 社会 造成 负面 影响 的 事件 。 信 息 安全 事件 的 防范 和 人 处置 是 国家 信息 安全 保障 
体系 中 的 重要 环节 ,也 是 重要 的 工作 内 容 。 


8.1.2 信息 安全 事件 的 分 类 


信息 安全 事件 的 分 级 和 分 类 是 快速 有 效 处 理 信息 安全 事件 的 基础 ,是 信息 安全 事件 应 
急 啊 应 的 基础 。 一 般 而 言 , 信 息 安 全 事件 可 以 是 故意 、 过 失 或 非 人 为 原因 引起 的 。 

在 《安全 事件 分 类 分 级 指南 》 中 综合 考虑 信息 安全 事件 的 起 因 、 表 现 、 结 果 等 ,对 信息 安 
全 事件 进行 了 分 类 ,将 信息 安全 事件 分 为 有 害 程序 事件 .网络 攻 击 事件 、 信 息 破 坏事 件 、 信 息 
内 容 安 全 事件 .设备 设施 故障 .灾害 性 事件 和 其 他 信息 安全 事件 共 7 个 ,每 个 基本 分 类 分 别 
包括 奋 干 个 子 类 。 表 8-1 是 信息 安全 事件 基本 分 类 的 一 个 汇总 表 。 


上 大 大 


多 8 


信息 安全 事件 基本 分 类 


有 害 程 序 事件 


(malware incidents) 


网 络 攻击 事件 


(network attacks incidents) 


信息 破坏 事件 


(information destroy incidents) 


信息 内 容 安 全 事件 
(information content security 


incidents) 


设备 设施 故障 


(facilities faults) 


灾害 性 事件 
(disaster incidents) 


其 他 信息 安全 事件 


(other incidents) 


- 立 - 


诗 
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表 8-1 信息 安全 事件 分 类 汇总 表 
相关 子 类 


计算 机 病毒 事件 (computer virus incidents) 

蠕虫 事件 (worms incidents) 

特洛伊 木马 事件 (trojan horses incidents) 

僵尸 网 络 事件 (botnets incidents) 

混合 攻击 程序 事件 (blended attacks incidents) 

网 页 内 髓 恶意 代码 事件 (web browser plug-Ins incidents) 
其 他 有 害 程 序 事件 (other malware incidents) 

拒绝 服务 攻击 事件 (denial of service attacks incidents) 

后 门 攻击 事件 (backdoor attacks incidents) 

漏洞 攻击 事件 (vulnerability attacks incidents) 

网 络 扫描 窃听 事件 (network scan & eavesdropping incidents) 
网 络 钓鱼 事件 (phishing incidents) 

干扰 事件 (interference incidents) 

其 他 网 络 攻击 事件 (other network attacks incidents) 

信息 自 改 事件 (information alteration incidents) 

信息 假冒 事件 (information masquerading incidents) 

信息 泄露 事件 (information leakage incidents) 

信息 锚 取 事件 (information interception incidents) 

信息 丢失 事件 (information loss incidents) 

其 他 信息 破坏 事件 (other Information destroy incidents) 
违反 宪法 和 法 律 \ 行 政法 规 的 信息 安全 事件 

针对 社会 事项 进行 讨论 ,评论 ,形成 网 上 敏感 的 奥 论 热点 ,出 现 一 定 
规模 炒作 的 信息 安全 事件 

组 织 串 连 、 煽 动 集会 游行 的 信息 安全 事件 

其 他 信息 内 容 安 全 事件 

软 硬 件 自身 故障 (software and hardware faults) 

外 围 保障 设施 故障 (periphery safeguarding facilities faults) 
人 为 破坏 事故 (man-made destroy accidents) 

其 他 设备 设施 故障 (other facilities faults) 

包括 水 灾 、 人 台风、 地震 雷击 . 寺 塌 .火灾 、 慌 怖 袭击 .战争 等 导致 的 信 
息 安 全 事件 


不 能 归 为 以 上 6 个 基本 分 类 的 信息 安全 事件 


本 书 下 面 将 分 别 对 有 害 程序 事件 、 网 络 攻 击 事件 、 信 息 破 坏事 件 、 信 息 内 容 安 全 事件 . 设 
备 设 施 故 障 这 5 类 信息 安全 事件 做 详细 介绍 。 

1. 有 害 程序 事件 

有 害 程序 事件 是 指 蓄意 制造 、 传 播 有 害 程序 ,或 是 因 受 到 有 害 程 序 的 影响 而 导致 的 信息 
安全 事件 。 有 害 程序 是 指 搬入 到 信息 系统 中 的 一 段 程 序 , 有 害 程 序 危 害 系统 中 数据 .应 用 程 
序 或 操作 系统 的 保密 性 .完整 性 或 可 用 性 ,或 影响 信息 系统 的 正常 运行 。 有 害 程 序 事件 包括 
计算 机 病毒 事件 .蠕虫 事件 .特洛伊 木马 事件 .僵尸 网 络 事件 、 混 合 攻击 程序 事件 、 网 页 内 扔 
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亚 意 代码 事件 和 其 他 有 害 程序 事件 7 个 子 类 ,各 子 类 事件 的 情况 分 别 如 下 所 述 。 

(1) 计算 机 病毒 事件 是 指 蓄意 制造 、 传 播 计 算 机 病毒 ,或 是 因 受到 计算 机 病毒 影 啊 而 寻 
致 的 信息 安全 事件 。 计 算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 搬入 的 一 组 计算 机 指令 或 者 
程序 代码 , 它 可 以 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 日 我 复制 。 

(2) 蠕虫 事件 是 指 莫 意 制造 \ 传 播 蠕 虫 , 或 是 因 受 到 蠕虫 影响 而 导致 的 信息 安全 事件 。 
蠕虫 是 指 除 计算 机 病毒 以 外 ,利用 信息 系统 缺陷 ,通过 网 络 日 动 复制 并 传播 的 有 害 程序 。 

(3) 特洛伊 木马 事件 是 指 蓄意 制造 、 传 播 特洛伊 木马 程序 ,或 是 因 受 到 特洛伊 木马 程序 
影响 而 导致 的 信息 安全 事件 。 特 党 伊 木 马 程序 是 指 伪 小 在 信息 系统 中 的 一 种 有 害 程序 , 具 
有 控制 该 信息 系统 或 进行 信息 穷 取 等 对 该 信息 系统 有 害 的 功能 。 

(4) 僵尸 网 络 事件 是 指 利用 僵尸 工具 软件 ,形成 僵尸 网 络 而 导致 的 信息 安全 事件 。 伪 
尸 网 络 是 指 网 络 上 受到 黑客 集中 控制 的 一 群 计 算 机 , 它 可 以 被 用 于 伺机 发 起 网 络 攻击 ,进行 
信息 窃取 或 传播 木马 .蠕虫 等 其 他 有 害 程序 。 

(5) 混合 攻击 程序 事件 是 指 蓄意 制造 .传播 混合 攻击 程序 ,或 是 因 受 到 混合 攻击 程序 影 
啊 而 导致 的 信息 安全 事件 。 混 合 攻击 程序 是 指 利用 多 种 方法 传播 和 感染 其 他 系统 的 有 害 程 
序 , 可 能 兼 有 计算 机 病毒 .蠕虫 .木马 或 僵尸 网 络 等 多 种 特征 。 混 合 攻击 程序 事件 也 可 以 是 
一 系列 有 害 程序 综合 作用 的 结果 ,例如 一 个 计算 机 病毒 或 蠕虫 在 侵入 系统 后 安 波 木马 程 

(6) 网 页 内 艇 恶意 代码 事 件 是 指 莫 意 制造 ,传播 网 页 内 舱 有 恶意 代码 ,或 是 因 受 到 网 页 内 
芷 恶意 代码 影响 而 导致 的 信息 安全 事件 。 网 页 内 骨 恶 意 代码 是 指 内 艇 在 网 页 中 ,未 经 允许 
由 浏览 硕 执 行 , 影 响 信息 系统 正 稼 运行 的 有 害 程 序 。 

(7) 其 他 有 害 程序 事件 是 指 不 能 包含 在 以 上 6 个 子 类 之 中 的 有 害 程序 事件 。 


【有 害 程序 事件 举例 】 


2016 年 4 月 ,CNCERT 监测 发 现 , 一 个 名 为 Ramnit 的 网 页 恶意 代码 被 挂 载 在 境内 近 
600 个 党 政 机 关 、 企 事业 单位 网 站 上 ,一旦 用 户 访问 网 站 就 有 可 能 受到 挂 马 攻 击 , 对 访问 网 
站 用 户 的 PC 主机 构成 安全 威胁 。Ramnit 恶意 代码 是 一 个 典型 的 VBScript 蠕虫 病毒 ,可 通 
过 网 页 挂 马 的 方式 进行 传播 , 当 用 户 浏览 含有 Ramnit 恶意 代码 的 HTML 页 面 时 , 单 击 加 
载 ActiveX 控件 ,用 户主 机 就 很 有 可 能 受到 恶意 代码 的 感染 。 

Ramnit 主要 是 在 用 户 的 TEMP 文件 夹 中 植 入 一 个 名 为 svchost. exe 的 二 进 制 文件 并 
执行 关联 的 ActiveX 控件 , 受 感 染 的 用 户主 机 会 试图 连接 到 与 Ramnit 相关 的 一 个 木马 控制 
服务 器 一 一 http://fget-career. com。 根 据 CNCERT 监测 情况 分 析 ,Chrome 和 Firefox 浏 
览 器 用 户 不 会 受到 恶意 代码 的 影响 , 较 高 版 本 的 酉 浏 览 器 也 会 对 此 类 ActiveX 控件 进行 告 
警 提示 而 不 是 自动 执行 。 所 以 , 受 影 响 的 主要 是 较 低 版 本 的 IE 浏览 器 。 建 议 ]IEE 浏 览 器 用 
户 在 访问 互联 网 时 做 好 IE 安全 设置 (建议 设置 为 中 .高 安全 级 别 ) ,禁止 执 行 不 明 来 源 的 
ActiveX 控件 。 

该 事件 也 提醒 用 户 IE 浏览 器 需要 进行 安全 设置 (可 设置 为 中 、 高 安全 级 别 ), 对 于 是 否 
执行 来 源 不 明 的 ActiveX 控件 ,将 由 用 户 自己 做 出 选择 ,或 者 可 以 禁止 执行 来 源 不 明 的 
ActiveX 控件 ; 尽量 避免 使 用 老 版 本 的 IE 浏览 器 ; 当然 经 党 杀毒、 清理 计算 机 中 的 垃圾 也 
是 必要 的 。 企 业 需 要 注意 升级 单位 网 站 ,及 时 提升 服务 器 性 能 、 强 化 服务 器 ; 需要 定期 进行 
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网 站 安全 检查 ,通过 渗透 等 办 法 排查 潜在 问题 , 防 患 于 未 然 。 
2. 网 络 攻击 事件 


网 络 攻击 事件 是 指 通过 网 络 或 其 他 技术 手段 ,利用 信息 系统 的 配置 缺陷 、 协 议 缺 陷 、 je 
序 缺 陷 或 使 用 暴力 攻击 对 信息 系统 实施 攻击 ,并 造成 信息 系统 异常 或 对 信息 系统 当前 运 
造成 潜在 危害 的 信息 安全 事件 。 

网 络 攻 击 事件 包括 拒绝 服务 攻击 事件 .后门 攻 击 事件 漏洞 攻击 事件 、 网 络 扫描 窃听 事 
件 、 网 络 钓鱼 事件 .干扰 事件 和 其 他 网 络 攻 击 事件 7 个 子 类 ,各 子 类 事件 的 情况 分 别 如 下 
所 述 。 

(1) 拒绝 服务 攻击 事件 是 指 利用 信息 系统 缺陷 或 通过 上 暴力 攻击 的 手段 ,以 大 量 消耗 信 
息 系 统 的 CPU 内存、 磁盘 空间 或 网 络 带宽 等 资源 ,从 而 影响 信息 系统 正常 运行 为 目的 的 信 
息 安全 事件 。 

(2) 后 门 攻击 事件 是 指 利用 软件 系统 、 硬 件 系统 设计 过 程 中 留 下 的 后 门 或 有 害 程 序 所 
设置 的 后 门 而 对 信息 系统 实施 的 攻击 的 信息 安全 事件 。 

(3) 漏洞 攻击 事件 是 指 除 拒绝 服务 攻击 事件 和 后 门 攻击 事件 之 外 ,利用 信息 系统 配置 
缺陷 ,协议 缺陷 ,程序 缺陷 等 漏洞 ,对 信息 系统 实施 攻击 的 信息 安全 事件 。 

(4) 网 络 扫 描 甸 听 事件 是 指 利用 网 络 扫 描 或 锚 听 软件 ,获取 信息 系统 网 络 配 置 、 端 口 、 
服务 .存在 的 脆弱 性 等 特征 而 导致 的 信息 安全 事件 。 

(5) 网 络 钓鱼 事件 是 指 利用 欺骗 性 的 计算 机 网 络 技术 ,使 用 户 泄 露 重 要 信息 而 导致 的 
信息 安全 事件 。 例 如 ,利用 欺骗 性 电子 邮件 获取 用 户 银行 账号 、 密 码 等 。 

(6) 干扰 事件 是 指 通 过 技术 手段 对 网 络 进行 干扰 ,或 对 广播 电视 有 线 、 无 线 传输 网 络 进 
行 插播 ,对 卫星 广播 电视 信号 非法 攻击 等 导致 的 信息 安全 事件 。 

(7) 其 他 网 络 攻击 事件 是 指 不 能 被 包含 在 以 上 6 个 子 类 之 中 的 网 络 攻击 事件 。 


【网 络 攻 击 事件 举例 】 


2016 年 3 月 ,全 球 有 2/3 的 网 站 服务 器 使 用 的 开源 的 加 密 工 具 OpenSSL 爆 出 新 的 安 
全 漏洞 水 补漏 洞 ,这 一 漏洞 允许 黑客 攻击 网 站 ,并 读 取 密 码 、 信 用 卡 账 号 .商业 机 密 和 人 金 
WA 我 国有 十 万 余 家 网 站 受到 影响 

这 次 事件 之 所 以 被 如 此 高 度 关注 ,除了 影响 范围 很 大 外 ,也 是 因为 OpenSSL 这 一 

网 基础 组 件 目 前 已 经 成 为 众矢之的 。 从 2014 年 的 心脏 滴 血 漏洞 开始 ,OpenSSL 不 断 被 爆 
出 大 范围 漏洞 ,虽然 这 次 漏洞 的 利用 难度 很 大 ,许多 软件 早已 通过 禁用 SSLv2 规避 了 这 个 
漏洞 ,但 有 关 开 源 软 件 的 安全 话题 被 再 次 广泛 讨论 。 一 方面 因为 其 开源 性 ,黑客 更 容易 通过 
对 源 代 码 的 研究 来 发 现 漏 洞 ; 另 一 方面 ,大 多 数 开源 软件 因为 没有 商业 公司 支撑 ,出 现 漏 
洞 ,用 户 无 法 在 第 一 时 间 被 告知 ,给 漏洞 的 修补 带 来 了 极 大 的 困难 。 

这 次 事件 也 提醒 作为 用 户 , 定 期 扫描 及 时 升级 软件 到 最 新 版 本 、 仔 细 核 查 软 件 配置 、 关 
闭 不 安全 选项 .关注 安全 公司 的 威胁 情况 播报 ,是 避免 此 类 漏洞 瑞 及 自身 的 有 效 手 段 。 

3. 信息 破坏 事件 

信息 破坏 事件 是 指 通 过 网 络 或 其 他 技术 手段 ,造成 信息 系统 中 的 信息 被 算 改 、 
露 窃取 等 而 导致 的 信息 安全 事件 。 信 息 破坏 事件 包括 信息 算 改 事件 ,信息 假冒 事 


守 全 
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泄露 事件 、 信 息 窃 取 事 件 、 信 息 丢 失事 件 和 其 他 信息 破坏 事件 6 个子 类 ,各 子 类 事件 的 情况 
分 别 如 下 。 

(1) 信息 算 改 事件 是 指 未 经 授权 将 信息 系统 中 的 信息 更 换 为 攻击 者 所 提供 的 信息 而 导 
致 的 信息 安全 事件 ,例如 网 页 算 改 等 导致 的 信息 安全 事件 。 

(2) 信息 假冒 事件 是 指 通过 假冒 他 人 信息 系统 收发 信息 而 导致 的 信息 安全 事件 ,例如 
网 页 假冒 等 导致 的 信息 安全 事件 。 

(3) 信息 泄露 事件 是 指 因 误 操 作 、 软 硬件 缺陷 或 电磁 汽 漏 等 因素 导致 信息 系统 中 的 保 
密 、 敏 感 . 个 人 隐私 等 信息 暴露 于 未 经 授权 者 而 导致 的 信息 安全 事件 。 

(4) 信息 窃取 事件 是 指 未 经 授权 用 户 利 用 可 能 的 技术 手段 恶意 主动 获取 信息 系统 中 信 
息 而 导致 的 信息 安全 事件 。 

(5) 信息 丢失 事件 是 指 因 误 操作 、 人 为 琵 意 或 软 人 硬件 缺陷 等 因素 导致 信息 系统 中 的 信 
息 丢 失 而 导致 的 信息 安全 事件 。 

(6) 其 他 信息 破坏 事件 是 指 不 能 被 包含 在 以 上 5 个 子 类 之 中 的 信息 破坏 事件 。 


【信息 破坏 事件 举例 】 


2016 年 2 月 1 日 ,浙江 警方 通报 了 半年 以 来 整治 网 络 违法 犯罪 行为 的 15 起 典型 案例 ， 
其 中 , 竟 兴 平湖 警方 破获 的 一 起 网 络 黑客 案件 中 ,犯罪 团伙 利用 互联 网 上 非法 传播 的 非 淘 宝 
用 户 账 号 和 密码 对 淘宝 账号 进行 “ 撞 库 ”匹配 ,用 于 抢 单 等 黑客 行为 ,涉案 金额 高 达 200 余 万 
元 。 此 次 事件 并 非 是 淘宝 被 攻击 导致 的 账号 泄露 。 通 过 案件 调查 发 现 , 是 该 团伙 于 2015 年 
10 月 14 日 至 16 日 通过 租用 阿里 云 服 务 器 进行 “ 撞 库 ,犯罪 团伙 利用 手中 已 有 的 非 淘 宝 账 
号 对 淘宝 网 进行 了 9900 多 万 次 比 对 ,匹配 后 发 现 有 2059 万 账号 真实 存在 , 占 比 竟然 高 达 
20.8%。2059 万 个 账号 中 ,黑客 比 对 后 曾 尝试 利用 其 他 平台 进行 登录 (俗称 “ 撞 库 ?) , 绝 大 
多 数 登 录 行 为 遭 到 淘宝 网 的 拦截 因而 未 遂 , 但 是 大 部 分 账号 还 是 被 不 法 分 子 用 于 抢 单 等 恶 
意 行为 。 

“ 撞 库 ”是 互联 网 较 常 见 的 黑客 行为 ,以 大 量 的 用 户 数 据 为 基础 ,利用 用 户 相 同 的 注册 习 
惯 (相同 的 用 户 名 和 密码 ) ,尝试 登录 其 他 的 网 站 。 被 撞 库 网 站 和 用 户 都 是 黑客 行为 的 受害 
者 ,用 户 在 A 网 站 被 资 的 账户 和 密码 被 用 来 登录 也 网 站 ,因为 很 多 用 户 在 不 同 网 站 使 用 的 
是 相同 的 账号 和 密码 ,因此 可 以 获取 用 户 在 也 网 站 的 用 户 账 号 和 密码 ,从 而 达到 目的 。 因 
此 一 旦 某 个 网 站 的 用 户 数据 库 泄 露 , 将 导致 该 用 户 在 多 个 网 站 的 资产 受 损 。 


事件 提醒 


企业 需要 有 完备 的 防范 措施 ,对 于 被 撞 库 的 账号 用 户 , 需 要 第 一 时 间 进 行 安全 提示 和 密 
码 修改 提醒 ,并 采取 临时 保护 措施 ,直至 用 户 完 成 密码 修改 ; 寻求 更 加 主动 有 效 的 防护 技 
术 , 化 被 动 防御 为 主动 防御。 

用 户 需 要 注意 ,不 要 在 多 个 网 站 使 用 同一 套 账号 和 密码 , 若 使 用 同一 套 账 号 和 密码 , 则 
相当 于 给 不 法 分 子 配 了 一 把 “万 能 钥匙 ,应 尽量 做 到 在 每 一 个 网 站 有 独立 的 用 户 名 与 密码 ， 
并 定期 更 新 ; 计算 机 中 一 定 要 安装 安全 软件 ,这 样 能 够 一 定 限度 降低 用 户 被 攻击 的 风险 , 保 
证 用 户 信 息 的 安全 。 应 使 用 正版 软件 ,使 用 “盗版 ”软件 “破解 ”软件 计算 机 中 可 能 会 被 植 入 
各 类 木马 病毒 文件 , 极 易 泄露 个 人 隐私 ; 遇 事 要 冷静 , 先 确认 事情 的 真 伪 , 遇 到 不 明 支 付 短 
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信 等 情况 不 要 慌张 ,发现 资金 异 第 应 立即 联系 银行 或 选择 报案 ,以 防止 造成 财产 损失 。 
4. 信息 内 容 安全 事件 
信息 内 容 安 全 事件 是 指 利用 信息 网 络 发 布 \ 传 播 危 害 国家 安全 、 社 会 稳定 和 公共 利益 的 
内 容 的 安全 事件 。 信 息 内 容 安全 事件 包括 以 下 4 个 子 类 ,各 子 类 事件 的 情况 分 别 如 下 所 述 。 
(1) 违反 宪法 和 法 律 \ 行 政法 规 的 信息 安全 事件 。 


乱 安 全 事件 。 
(3) 组 织 串 连 \、 燃 动 集会 游行 的 信息 安全 事件 。 
(4) 其 他 信息 内 容 安 全 事件 。 


【信息 内 容 安 全 事件 举例 】 


2015 年 4 月 28 日 的 山东 非法 疫苗 案 经 澎 汶 新 闻 刊 发 后 ,引发 持续 关注 。 据 报道 ,该 案 
疫苗 未 经 严格 冷 链 存储 运输 , 便 销 往 24 个 省 市 ,案值 5.7 亿 元 。 报 道 刊 发 后 ,该 消息 迅速 弥 
漫 全 网 ,连续 多 日 占据 热门 排名 。 该 事件 的 网 上 舆情 呈现 出 又 高 又 热 的 紧张 态势 ,可 能 存在 
以 下 原因 : 一 是 疫苗 直接 牵涉 孩子 ,容易 持续 刺激 年 轻 父 母 而 造成 强烈 的 丽 慌 心理 ; 二 是 
受 专 业 知 识 、 医 疗 背 景 等 客观 条 件 限 制 ,很 容易 将 冷藏 的 失效 疫苗 视 同 有 尊 疫苗 ,不 断 触 及 
人 们 的 情感 痛 点 ; 三 是 段子 手 、 公 关公 司 、 营 销 号 趁机 “ 碰 瓷 ”热点 , 借 势 营销 ; 四 是 受 现实 
多 重 因 素 影响 ,和 与 论 中 关于 监管 部 门 与 违法 企业 间 的 责任 界限 较为 模糊 ,提供 讨论 、 猜 忌 
空间 。 

5. 设备 设施 故障 事件 


设备 设施 故障 是 指 由 于 信息 系统 日 映 故 障 或 外 围 保 障 设 施 故 障 而 导致 的 信息 安全 事 
件 , 以 及 人 为 地 使 用 非 技 术 手 段 有 意 或 无 意 地 造成 信息 系统 破坏 而 导致 的 信息 安全 事件 。 
设备 设施 故障 包括 软 人 硬件 自 喘 故障、 外 围 保障 设施 故障 、 人 为 破坏 事故 和 其 他 设备 设施 故障 
4 个 子 类 ,各 子 类 事件 的 情况 分 别 如 下 。 

(1) 软 人 硬件 上 自身 故障 是 指 因 信息 系统 中 硬件 设备 的 目 然 故 障 、 软 硬件 设计 缺陷 或 者 软 
便 件 运行 环境 发 生变 化 等 而 导致 的 信息 安全 事件 。 

(2) 外 围 保 障 设施 故障 是 指 由 于 保障 信息 系统 正常 运行 所 必需 的 外 部 设施 出 现 故 障 而 
导致 的 信息 安全 事件 ,例如 电力 故障 .外 围 网 络 故障 等 导致 的 信息 安全 事件 。 

(3) 人 为 破坏 事故 是 指 人 为 荔 意 地 对 保障 信息 系统 正常 运行 的 人 硬件、 软件 等 实施 禄 取 、 
破坏 造成 的 信息 安全 事件 ; 或 由 于 人 为 地 遗失 、 误 操作 以 及 其 他 无 意 行为 造成 信息 系统 便 
件 、 软 件 等 遭 到 破坏 ,影响 信息 系统 正常 运行 的 信息 安全 事件 。 

(4) 其 他 设备 设施 故障 是 指 不 能 被 包含 在 以 上 3 个 子 类 之 中 的 设备 设施 故障 而 导致 的 
信息 安全 事件 。 


【设备 设施 故障 事件 举例 】 


2015 年 12 月 23 日 ,乌克兰 伊 万 诺 - 弗 兰 科 夫 斯 克 地 区 (人 口 140 万 ) 大 约 一 半 的 家 庭 断 
电 数 小 时 。 据 乌克兰 新 闻 通 讯 社 报道 ,这 次 大 规模 停电 事件 ,是 由 于 黑客 在 乌克兰 国家 电网 
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中 植 入 了 恶意 软件 ,从 而 性 致 发 电站 意外 关闭 。 这 是 首次 由 黑客 攻击 行为 手 致 的 大 规模 停 
电 事 件 ,引起 了 公众 的 极 大 了 叉 懂 。 黑 客 使 用 的 高 破坏 性 的 恶意 软件 ,攻击 并 感染 了 乌克兰 至 
少 三 个 地 区 电力 部 门 的 基础 设施 ,导致 发 电 设 备 产 生 故 障 。 

ESET 公司 的 研究 人 员 已 经 证 实 , 乌 克 兰 电力 部 门 的 计算 机 中 被 植 入 了 BlackEnergy 
恶意 软件 ,该 软件 最 初 于 2007 年 被 发 现 , 并 通过 不 断 更 新 ,添加 了 许多 新 功能 ,其 中 包括 使 
被 感染 的 计算 机 无 法 重启 的 功能 。 最 近 ,ESET 公司 发 现 ,BlackEnergy 恶意 软件 再 次 更 新 ， 
并 增加 了 被 称 为 KillDisk 的 组 件 , 它 能 够 破坏 计算 机 硬盘 驱动 器 的 关键 部 分 ,因此 可 以 用 于 
实施 针对 新 闻 媒 体 企业 及 电力 行业 的 攻击 。 


8.1.3 信息 安全 事件 分 级 
1. 信息 安全 事件 分 级 要 素 


对 信息 安全 事件 的 分 级 主要 考虑 3 个 要 素 : 信息 系统 的 重要 程度 .系统 损失 和 社会 影 
响 。 各 要 素 的 程度 衡量 导 图 如 图 8-1 所 示 。 


特别 重要 信息 系统 


重要 信息 系统 


一 般 信息 系统 


信息 系统 的 重要 程度 


特别 严重 的 系统 损失 


信息 安全 事件 分 级 要 素 系统 损失 


较 大 的 系统 损失 


较 小 的 系统 损失 


较 大 的 社会 影 啊 


8-1 信息 安全 分 级 要 素 导 图 


1) 信息 系统 的 重要 程度 

信息 系统 的 重要 程度 主要 考虑 信息 系统 所 承载 的 业务 对 国家 安全 、 经 济 建设 .社会 生活 
的 重要 性 以 及 业务 对 信息 系统 的 依赖 程度 ,划分 为 特别 重要 信息 系统 、 重 要 信息 系统 和 一 般 
信息 系统 。 

2) 系统 损失 

系统 损失 是 指 由 于 信息 安全 事件 对 信息 系统 的 软 人 硬件 、 功 能 及 数据 的 破坏 ,导致 系统 业 
务 中 断 , 从 而 给 事 发 组 织 所 造成 的 损失 ,其 大 小 主要 考虑 恢复 系统 正常 运行 和 消除 安全 事件 
负面 影响 所 需 付出 的 代价 ,划分 为 特别 严重 的 系统 损失 、 严 重 的 系统 损失 、 较 大 的 系统 损失 


第 8 章 信息 安全 事件 应 急 处 理 与 灾难 恢复 147 


和 较 小 的 系统 损失 ,这 里 对 各 损失 程度 做 一 个 说 明 ， 

(1) 特别 严重 的 系统 损失 。 造 成 系统 大 面积 次 痪 ,使 其 丧失 业务 处 理 能 力 , 或 系统 关键 
数据 的 保密 性 、 完 整 性 .可 用 性 遭 到 严重 破坏 ,恢复 系统 正常 运行 和 消除 安全 事件 负面 影响 
所 需 付 出 的 代价 十 分 巨大 ,对 于 事 发 组 织 是 不 可 承受 的 。 

(2) 严重 的 系统 损失 。 造 成 系统 长 时 间 中 断 或 局 部 瘫痪 ,使 其 业务 处 理 能 力 受 到 极 大 
影响 ,或 系统 关键 数据 的 保密 性 、 完 整 性 、. 可 用 性 遭 到 破坏 ,恢复 系统 正常 运行 和 消除 安全 事 
件 负面 影响 所 需 付 出 的 代价 巨大 ,但 对 于 事 发 组 织 是 可 承受 的 。 

(3) 较 大 的 系统 损失 。 造 成 系统 中 断 ,明显 影响 系统 效率 ,使 重要 信息 系统 或 一 般 信息 
系统 业务 处 理 能 力 受 到 影响 ,或 系统 重要 数据 的 保密 性 、 完 整 性 .可 用 性 遭 到 破坏 ,恢复 系统 
正常 运行 和 消除 安全 事件 负面 影响 所 需 付 出 的 代价 较 大 ,但 对 于 事 发 组 织 是 完全 可 以 承 
受 的 。 

(4) 较 小 的 系统 损失 。 造 成 系统 短暂 中 断 ,影响 系统 效率 ,使 系统 业务 处 理 能 力 受 到 影 
响 ,或 系统 重要 数据 的 保密 性 完整 性 .可 用 性 遭 到 影响 ,恢复 系统 正常 运行 和 消除 安全 事件 
负面 影响 所 需 付出 的 代价 较 小 。 

3) 社会 影响 

社会 影响 是 指 信息 安全 事件 对 社会 所 造成 影响 的 范围 和 程度 ,其 大 小 主要 考虑 国家 安 
全 、 社 会 秩序 ,经 济 建设 和 公众 利益 等 方面 的 影响 ,划分 为 特别 重大 的 社会 影响 、 重 大 的 社会 
影响 、 较 大 的 社会 影响 和 一 般 的 社会 影响 ,这 里 对 各 种 影响 说 明 如 下 。 

(1) 特别 重大 的 社会 影响 。 波 及 一 个 或 多 个 省 市 的 大 部 分 地 区 , 极 大 威胁 国家 安全 , 引 
起 社会 动荡 ,对 经 济 建设 有 极其 恶劣 的 负面 影响 ,或 者 严重 损害 公众 利益 。 

(2) 重大 的 社会 影响 。 波 及 一 个 或 多 个 地 市 的 大 部 分 地 区 ,威胁 到 国家 安全 ,引起 社会 
式 慌 ,对 经 济 建设 有 重大 的 负面 影响 ,或 者 损害 到 公众 利益 。 

(3) 较 大 的 社会 影响 。 波 及 一 个 或 多 个 地 市 的 部 分 地 区 ,可 能 影响 到 国家 安全 ,扰乱 社 
会 秩序 ,对 经 济 建设 有 一 定 的 负面 影响 ,或 者 影响 到 公众 利益 。 

(4) 一 般 的 社会 影响 。 波 及 一 个 地 市 的 部 分 地 区 ,对 国家 安全 ,社会 秩序 经 济 建设 和 
公众 利益 基本 没有 影响 ,但 对 个 别 公 民 .法 人 或 其 他 组 织 的 利益 会 造成 损害 。 

2. 信息 安全 事件 的 级 别 划分 

根据 信息 安全 事件 的 分 级 要 素 所 达到 的 情况 和 描述 ,将 信息 安全 事件 划分 为 4 个 级 别 : 
特别 重大 事件 、 重 大 事件 、 较 大 事件 和 一 般 事件 。 表 8-2 是 信息 安全 事件 4 个 级 别 情况 的 描 
述 汇 总 。 

表 8-2 ”信息 安全 事件 分 级 一 览 表 


信息 安全 
事件 等 级 


特别 重大 事件 | 能 够 导致 特别 严重 影响 | 会 使 特别 重要 信息 系统 遭受 特别 严重 的 系统 损失 
( 工 级 ) 或 破坏 的 信息 安全 事件 ”| 产生 特别 重大 的 社会 影响 

会 = 
重大 事件 能 够 导致 严重 影响 或 破 会 使 特别 重要 信息 系统 遭受 严重 的 系统 损失 


本 会 使 重要 信息 系统 遭受 特别 严重 的 系统 损失 
( 工 级 ) 坏 的 信息 安全 事件 产生 重大 的 社会 影响 


描 述 分 级 要 素 情 况 
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续 表 


分 级 要 素 情 况 


会 使 特别 重要 信息 系统 遭受 较 大 的 系统 损失 

能 够 导致 较 严 重 影响 或 | 会 使 重要 信息 系统 遭受 严重 的 系统 损失 

破坏 的 信息 安全 事件 一 般 信 息 系 统 遭 受 特别 严重 的 系统 损失 
产生 较 大 的 社会 影响 

会 使 特别 重要 信息 系统 遭受 较 小 的 系统 损失 

不 满足 以 上 条 件 的 信息 | 会 使 重要 信息 系统 遭受 较 大 的 系统 损失 

安全 事件 一 般 信 息 系 统 遭 受 严 重 或 严重 以 下 级 别 的 系统 损失 
产生 一 般 的 社会 影响 


8.2 信息 安全 事件 应 总 啊 应 与 处 置 


8.2.1 应 急 响 应 的 概念 


应 急 啊 应 (emergency response 或 incident response) 是 指 一 个 组 织 为 了 应 对 各 种 信息 
ws ty ee 在 减少 信息 
安全 事件 对 组 织 和 业务 的 影响 , 它 体 现 了 一 个 组 织 驾 驭 事件 的 能 力 。 组 织 在 威胁 出 现 


ee 
应 事件 ,就 有 可 能 有 效 地 减少 和 降低 恢复 系统 的 代价 。 

在 现 有 的 各 种 网 络 安全 模型 中 ,关于 信息 安全 事件 处 理 都 被 归结 到 应 急 啊 应 这 样 一 
ee Egg 
所 以 要 求 应 急 啊 应 的 事件 处 理 必 须 能 够 找到 一 种 通用 的 策略 ,实现 对 当前 发 生 的 已 知 的 攻 
击 事件 和 将 来 可 能 发 生 的 新 的 未 知 攻击 事件 的 处 理 。 

8.2.2 应 急 啊 应 计划 及 流程 
1. 应 急 响 应 计划 的 定义 
应 急 啊 应 计划 (emergency response plan) 是 指 组 织 为 了 应 对 突 发 或 重大 信息 安全 事件 
而 编制 的 、 对 包括 信息 系统 运行 在 内 的 业务 运行 进行 维持 或 恢复 的 策略 和 规程 。 这 里 的 事 
件 包 括 有 害 程序 事件 .网络 攻击 事件 、 信 息 破 坏事 件 、 信 息 内 容 安全 事件 .设备 设施 故障 和 灾 
害 性 事件 等 。 

信息 系统 容易 受到 各 种 已 知 和 未 知 的 威胁 而 导致 有 害 程序 事件 .网络 攻击 事件 \ 信 息 破 
坏事 件 、 信 息 内 容 安全 事件 .设备 设施 故障 和 灾害 性 事件 等 信息 安全 事件 的 发 生 。 虽 然 很 多 
言 息 安全 事件 可 以 通过 技术 的 、 管 理 的 、 操 作 的 方法 了 予以 消减 ,但 目前 没有 任何 一 种 信息 安 
全 策略 或 防护 措施 ,能够 对 信息 系统 提供 绝对 的 保护 。 即 使 采取 了 防护 措施 , 仍 可 能 存在 残 
留 的 弱点 ,使 得 信息 安全 防护 变 得 无 效 , 从 而 导致 业务 中 断 、 系统 宕 机 、 网 络 次 痪 等 信息 安全 
事件 发 生 ,并 对 组 织 和 业务 运行 产生 直接 或 间接 的 负面 影响 。 因 此 ,为 了 减 小 信息 安全 事件 
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对 组 织 和 业务 的 影响 ,应 制订 有 效 的 信息 安全 应 急 啊 应 计划 。 
2. 应 急 响 应 计划 文档 
急 响 应 计划 文档 应 包含 总 则 .角色 及 职责 预防 和 预警 机 制 .应 急 响 应 流程 ,应急 啊 应 
ye 
1) 总 则 
总 则 提供 了 重要 的 背景 或 相关 信息 ,使 应 急 啊 应 计划 更 容易 理解 .实施 和 维护 。 通 常 这 
部 分 包括 编制 日 的、 编制 依据 、 适 用 范围 工作 原则 等 。 
(1) 编制 目的 。 介 绍 制 订 信 息 安全 应 急 啊 应 计划 的 原因 和 目标 。 
(2) 编制 依据 。 说 明 编 制 信息 安全 应 急 啊 应 计划 的 依据 。 
(3) 适用 范围 。 说 明 计 划 的 作用 范围 ,解决 哪些 问题 ,不 解决 那些 问题 。 
(4) 工作 原则 。 确 定 应 急 啊 应 计划 组 织 和 实施 原则 。 
et 
组 织 应 结合 本 单位 日 党 机构 建立 信息 安全 应 急 响 应 的 工作 机 构 , 并 明确 其 职责 。 应 急 
啊 应 的 工作 机 构 由 管理 、 业务 .技术 和 和 5 政 后 勤 等 人 员 组 成 ， 一 般 来 说 , 按 角色 可 划分 为 5 个 
功能 小 组 : 应 急 啊 应 领导 小 组 .应 急 啊 应 技术 保障 小 组 、. 应急 啊 应 专家 小 组 .应 急 啊 应 实施 
小 组 和 应 急 啊 应 日 常 运行 小 组 等 。 表 8-3 列 出 了 各 工作 小 组 的 工作 职责 。 在 实际 中 ,可 以 
不 必 专 门 成 立 对 应 的 功能 小 组 ,组 织 可 以 根据 自身 情况 由 其 具体 的 某 个 、 某 几 个 部 门 或 部 门 
中 的 某 几 个 人 担当 其 中 的 一 个 或 几 个 角色 。 


表 8-3 ”应急 响应 工作 小 组 的 工作 职责 
功能 小 组 工作 职责 


(1) 对 应 急 啊 应 工作 的 承诺 和 支持 ,包括 发 布 正式 文件 .提供 必 要 资源 (人 、 
财物 ); 
(2) 审核 并 批准 应 急 啊 应 策略 ; 
应 急 啊 应 领导 小 组 (3) 审核 并 批准 应 急 啊 应 计划 ; 
(4) 批准 和 监督 应 急 啊 应 计划 的 执行 ; 
(5) 启动 定 期 评审 .修订 应 急 啊 应 计划 ; 
(6) 负责 组 织 的 外 部 协作 工作 


(1) 制定 信息 安全 事件 技术 应 对 表 ; 

(2) 制定 信息 安全 事件 区 域 技 术 应 对 表 ; 
应 急 响 应 技术 保障 小 组 | (3) 制定 具体 角色 和 职责 分 工 细则 ; 

(4) 制定 应 急 响 应 协同 调度 方案 ; 

(5) 考察 和 管理 相关 技术 基础 


(1) 对 重大 信息 安全 事件 进行 评估 ,提出 启动 应 急 响 应 级 别 的 建议 ; 

(2) 研究 分 析 信 息 安 全 事件 的 相关 情况 及 发 展 趋势 ,为 应 急 响 应 提供 咨询 或 
提出 建议 ; 

(3) 分 析 信 息 安 全 事件 原因 及 造成 的 危害 ,为 应 急 响应 提供 技术 支持 


应 急 响应 专家 小 组 
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续 表 


功能 小 组 工作 职责 


(1) 分 析 应 急 响 应 需求 (如 风险 评估 、 业务 影 响 分 析 等 ) ; 
(2) 确定 应 急 响应 策略 和 等 级 ， 
(3) 实现 应 急 响应 策略 ; 
(4) 编制 应 急 响应 计划 文档 ; 
应 急 响 应 实施 小 组 (5) 实施 应 急 响 应 计划 ; 
(6) 组 织 应 急 响 应 计划 的 测试 .培训 和 演练 ; 
(7) 合理 部 署 和 使 用 应 急 响 应 资源 ; 
(8) 总 结 应 急 响 应 工作 ,提交 应 急 响 应 总 结 报告 ; 
(9) 执行 应 急 响应 计划 的 评审 .修订 任务 
(1) 协助 灾难 恢复 系统 实施 ; 
(2) 备份 中 心 日 常 管理 ; 
(3) 备份 系统 的 运行 和 维护 ; 
应 急 响 应 日 常 运行 小 组 | (4) 应 急 监控 系统 的 运作 和 维护 ; 
(5) 参与 和 协助 应 急 响应 计划 的 测试 .培训 和 演练 ; 
(6) 维护 和 管理 应 急 响 应 计划 文档 ; 
(7) 信息 安全 事件 发 生 时 的 损失 控制 和 损害 评估 


组 织 可 聘请 具有 相应 资质 的 外 部 专家 协助 应 急 啊 应 工作 ,也 可 委托 具有 相应 资质 的 外 
部 机 构 承 担 实 施 小 组 以 及 日 党 运行 小 组 的 部 分 或 全 部 工作 ， 在 聘请 外 部 专家 协助 应 急 啊 应 
工作 或 者 委托 外 部 机 构 承 担 部 分 或 者 全 部 应 急 啊 应 工作 时 ,需要 和 其 签订 相关 协议 (例如 签 
订 有 关 信 息 保 密 要 求 等 ) 。 
3) 预防 和 预警 机 制 
组 织 应 加 强 信息 安全 监测 、 分 析 和 预警 工作 ,建立 信息 安全 事件 报告 和 通报 制度 ,发生 
言 息 安 全 事件 的 单位 或 者 部 门 应 当 在 信息 安全 事件 发 生 后 立即 向 应 急 响 应 日 常 运行 小 组 报 
告 , 这 是 一 种 防御 性 的 方法 。 在 可 行 和 比较 划算 的 情况 下 ,防御 性 方法 要 比 信息 安全 事件 发 
生 后 进行 应 急 啊 应 更 好 。 有 很 多 防御 性 控制 措施 可 供 选 择 , 它 依赖 于 信息 系统 的 类 型 和 
配置 。 
预防 和 预警 机 制 应 被 记录 在 应 急 啊 应 计划 中 ,应 对 系统 相关 的 人 员 进 行 培训 ,使 他 们 明 
确 如 何以 及 何 时 使 用 预防 和 预警 机 制 。 预 防 和 预警 机 制 应 得 到 维护 以 处 于 良好 状态 ,从 
而 确保 其 在 信息 安全 事件 中 的 有 效 性 。 积 极 推行 信息 安全 等 级 保护 制度 ,基础 信息 网 络 
和 重要 信息 系统 建设 要 充分 考虑 抗 毁 性 与 灾难 恢复 (灾难 恢复 的 内 容 将 在 8. 3 节 做 详细 
| 
急 啊 应 流程 
aaa 安全 事件 发 生 后 应 采取 的 工作 流程 和 相应 条 球 , 目 的 是 保证 
急 啊 应 能 够 有 组 织 地 执行 ,从 而 最 大 限度 地 保证 应 急 响 应 的 有 效 性 ,具体 内 容 在 8. 2. 3 节 
jon 
急 啊 应 保障 措施 
eet OE 
后 能 够 快速 有 效 地 实施 应 急 啊 应 计划 的 关键 要 素 。 一 般 情况 下 ,人 力 保 障 、 物 质保 障 和 技 
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术 保 障 这 三 个 方面 是 必要 的 ,组 织 也 可 以 根据 自己 的 性 质 和 需求 考虑 调整 增加 其 他 方面 的 
保障 措施 来 保证 应 急 响 应 计划 的 制订 符合 组 织 的 实际 情况 。 

6) 附件 

应 急 啊 应 计划 的 附件 提供 了 计划 主体 不 包含 的 关键 细节 。 常 见 的 应 急 啊 应 计划 附件 包 
括 : 具体 的 组 织 体系 结构 和 人 员 职 责 ; 应急 响 应 计划 各 小 组 成 员 的 联络 信息 ; 供应 商 联络 
信息 ,包括 离 站 存储 和 备用 站 点 的 外 部 联系 点 (POC); 系统 恢复 或 处 理 的 标准 操作 规程 和 
检查 列表 ; 文 持 系统 运行 所 需 的 鲁 件 软件、 固件 和 其 他 资源 的 设备 与 系统 需求 清单 ,清单 
中 的 每 个 条 目 应 包含 型 号 或 版 本 号 、 规 定 说 明和 数 全 等 详细 内 容 ; 供应 商 服务 水 平 协议 
(SLA) ,与 其 他 机 构 的 互惠 协议 和 其 他 关键 记录 ; 备用 站 点 的 描述 和 说 明 ; 在 计划 制订 前 
进行 的 BIA ,包含 关于 系统 各 部 分 的 相互 关系 、 风 险 、 优 先 级 别 等 ; 应 急 啊 应 计划 文档 的 保 
存 和 分 发 方法 。 

3. 应 急 响 应 计划 的 制订 

信息 安全 应 急 啊 应 计划 的 制订 一 般 包 含 应急 响 
应 计划 的 编制 准备 ,编制 应 急 响 应 计划 文档 及 应 急 
响应 计划 的 测试 .培训 演练 和 维护 3 个 阶段 。 

信息 安全 应 急 啊 应 计划 的 制订 也 是 一 个 周 而 复 
始 ,持续 改进 的 过 程 ,应 急 啊 应 计划 为 信息 安全 事件 
发 生 后 的 应 急 啊 应 提供 了 指导 策略 和 规程 ,否则 ,应 
急 响 应 将 陷入 混乱 ,而 毫 无 章法 的 应 急 啊 应 有 可 能 
造成 比 信息 安全 事件 本 身 更 大 的 损失 。 另 外 ,应 急 图 8-。 应 急 响 应 计划 与 应 急 响 应 的 关系 
啊 应 可 能 发 现 事前 应 急 啊 应 计划 的 不 足 , 从 而 吸取 
教训 ,进而 进一步 完善 应 急 啊 应 计划 。 所 以 ,制订 应 急 啊 应 计划 与 应 急 响 应 是 一 个 循环 反 
复 、 相 互补 充 和 相互 促进 的 过 程 。 应 急 啊 应 计划 与 应 急 啊 应 的 关系 如 图 8-2 所 示 。 


8.2.3 信息 安全 应 急 员 应 流程 


信息 安全 应 急 处 理 是 指 通过 制订 应 ie nn 
得 到 及 时 啊 应 ,并 在 安全 事件 一 旦 发 生 后 进行 标示 、 记 录 、 分 类 和 处 理 ,直到 受 影响 的 业务 恢 
复 正 和 常 运行 的 过 程 。 

应 急 啊 应 流程 描述 并 规定 了 信息 安全 事件 发 生 后 应 采取 的 工作 流程 和 相应 条 款 , 目 的 
是 保证 应 急 啊 应 能 够 有 组 织 地 执行 ,从 而 最 大 限度 地 保证 应 急 啊 应 的 有 效 性 。 信 息 安 全 事 
件 应 急 啊 应 流程 中 包含 信息 安全 事件 通报 、 信 息 安 全 事件 评估 应急 启动. 应 急 处 理 和 后 期 
处 理 , 如 图 8-3 所 示 。 

1. 信息 安全 事件 的 通报 

1) 信息 通报 。 

(1) 组 织 内 信息 通报 。 在 信息 安全 事件 发 生 后 ,应 通知 应 急 啊 应 日 常 运行 小 组 使 其 能 
够 确定 事态 的 严重 程度 和 下 一 步 将 要 采取 的 行动 。 在 损害 评估 完成 后 ,应 通知 应 急 啊 应 领 
导 小 组 。 通 知 策略 应 定义 信息 安全 事件 发 生 后 人 员 无 法 联络 时 的 规程 。 

(2) 组 织 外 信息 通报 。 信 息 安 全 事件 发 生 后 ,应 将 相关 信息 及 时 通报 给 受到 负面 影响 


应 急 啊 
应 计划 
的 制订 


应 急 啊 
应 计划 
的 完善 
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信息 安全 信息 安全 信息 安全 


进行 如 下 启动 

事项 ， 应 总 啊 应 和 
事件 分 类 恢复 顺序 
事件 定 级 恢复 规程 


信息 披露 应 急 响应 
总 结 束 多 于 四 


应 急 啊 应 流程 


图 8-3 信息 安全 事件 应 急 响 应 流程 


的 外 部 机 构 、 互 联 的 单位 系统 以 及 重要 客户 ,同时 根据 应 急 响 应 的 需要 ,应 将 相关 信息 准确 
通报 给 相关 设备 及 服务 提供 商 、 电 信 、 电 力 等 外 部 组 织 , 以 获得 适当 的 应 急 啊 应 支持 。 对 外 
信息 通报 应 符合 组 织 的 对 外 信息 发 布 策 略 。 

2) 信息 上 报 

信息 安全 事件 发 生 后 ,应 按照 相关 规定 和 要 求 , 及 时 将 情况 上 报 相 关 单 位 或 者 部 门 。 

3) 信息 披露 

信息 安全 事件 发 生 后 ,根据 信息 安全 事件 的 严重 程度 ,组 织 应 指定 特定 的 小 组 及 时 问 新 
闻 媒 体 发 布 相关 信息 ,指定 的 小 组 应 严格 按照 组 织 相 关 规 定 和 要 求 对 外 发 布 信息 ,同时 组 织 
内 其 他 部 门 或 者 个 人 不 得 随意 接受 新 闻 媒 体 采访 和 对 外 发 表 目 己 的 看 法 。 

2. 信息 安全 事件 评估 

信息 安全 事件 发 生 后 ,应 急 响 应 日 常 运 行 小 组 需要 对 信息 安全 事件 进行 评估 ,确定 信息 
安全 事件 的 类 别 与 级 别 。 这 个 阶段 要 进行 事件 的 分 类 和 分 级 ,关于 信息 安全 事件 的 分 类 与 
分 级 在 8. 1.2 节 和 8.1.3 节 已 经 进行 了 详细 介绍 。 

3. 应 急 启 动 


急 启 动 具体 操作 应 遵循 下 面 的 规则 。 

(1) 启动 原则 。 快速 、 有 序 。 

(2) 局 动 依据 。 

一 般 而 言 ,对 于 导致 业务 中 断 、 系 统 宕 机 、 网 络 竣 痪 等 突 发 或 重大 信息 安全 事件 应 立即 
启动 应 急 。 但 由 于 组 织 规模 构成 ,性 质 等 的 不 同 , 不 同 组 织 对 突 发 或 重大 信息 安全 事件 的 
定义 会 有 差异 ,因此 ,各 组 织 的 应 急 启 动 条 件 也 会 不 同 。 

一 般 可 以 考虑 人 员 安 全 和 (或 ) 设 施 损 失 的 程度 ; 系统 损失 的 程度 (如 物理 的 .运作 的 或 
成 本 的 ); 系统 对 于 组 织 使 命 的 影响 程度 (如 保护 资产 的 关键 基础 设施 ); 预期 的 中 断 持续 
时 间 等 。 只 有 当 损 害 评估 的 结果 显示 一 个 或 多 个 系统 启动 条 件 被 满足 时 ,应 急 啊 应 计划 才 
应 被 局 动 。 

(3) 启动 方法 。 

由 应 急 啊 应 领导 小 组 发 布 应 急 啊 应 启动 令 


a 


六 急 啊 应 启动 后 应 急 啊 应 领导 小 组 要 对 人 
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力 、 财 力 ,物力 到 位 情况 实施 检查 与 督察 ,并 记录 实际 发 生 情 况 。 
4. 应 急 处 理 


局 动 应 急 啊 应 计划 后 应 立即 采取 相关 措施 抑制 信息 安全 事件 影响 ,避免 造成 更 大 损失 。 
在 确定 有 效 控制 了 信息 安全 事件 影响 后 开始 恢复 操作 ,恢复 阶段 的 行动 集中 于 建立 临时 业 
务 处 理 能 力 、 修 复原 系统 损害 .在原 系统 或 新 设施 中 恢复 运行 业务 能 力 等 应 急 措 施 。 要 遵循 
一 定 的 恢复 顺序 和 恢复 规程 。 

1) 恢复 顺序 

当 恢 复 复 杂 系 统 时 ,恢复 进程 应 反映 出 业务 影响 分 析 中 确定 的 系统 优先 顺序 。 恢 复 的 
顺序 应 反映 出 系统 允许 的 中 断 时 间 ,以 避免 对 相关 系统 及 业务 的 重大 影响 。 

2) 恢复 规程 

为 了 进行 恢复 操作 ,应急 啊 应 计划 应 提供 恢复 业务 能 力 的 详细 规程 。 规 程 应 被 设 定 给 
适当 的 恢复 小 组 并 且 通 常 涉及 以 下 行动 。 

(1) 获得 访问 受 损 设施 和 (或 ) 地 理 区 域 的 授权 ，。 

(2) 通知 相关 系统 的 内 部 和 外 部 业务 伙伴 。 

(3) 获得 所 需 的 办 公用 品 和 工作 空间 。 

(4) 获得 安装 所 需 的 人 硬件 部 件 。 

(5) 获得 装载 备份 介质 。 

(6) 恢复 关键 操作 系统 和 应 用 软件 。 

(7) 恢复 系统 数据 。 

(8) 成 功 运行 备用 设备 。 

5. 后 期 处 理 


1) 信息 系统 重建 

在 应 急 工 作 结 束 后 ,要 迅速 采取 措施 ,抓紧 组 织 抢 修 受 损 的 基础 设施 ,减少 损失 ,尽快 恢 
复 正 常 的 工作 。 通 过 统计 各 种 数据 , 查 明 原因 ,对 信息 安全 事件 造成 的 损失 和 影响 以 及 恢复 
重建 能 力 进行 分 析 评 佑 ,认真 制订 恢复 重建 计划 ,迅速 组 织 实 施 信息 系统 重建 。 

2) 应 急 啊 应 总 结 整 理 

应 急 响 应 总 结 是 应 急 处 理 之 后 应 进行 的 工作 ,具体 包括 以 下 工作 。 

(1) 分 析 和 总 结 事件 发 生 原 因 ，。 

(2) 分 析 和 总 结 事件 现象 。 

(3) 评估 系统 的 损害 程度 。 

(4) 评估 事件 导致 的 损失 。 

(5) 分 析 和 总 结 应 急 处 理 记 录 。 

(6) 评审 应 急 啊 应 措施 的 效果 和 效率 ,并 提出 改进 建议 。 

(7) 评审 应 急 啊 应 计划 的 效果 和 效率 ,并 提出 改进 建议 。 


8.2.4 信息 安全 事件 应 急 处 理 方 法 


随 着 互联 网 业务 的 快速 发 展 , 每 年 都 有 新 的 服务 系统 的 安全 洗 洞 被 黑客 发 据 出 来 实施 
网 络 攻击 。 从 根本 上 讲 ,在 互联 网 的 现实 环境 中 是 不 存在 绝对 安全 的 系统 的 ,任何 一 个 系统 
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总 是 存在 被 攻陷 的 可 能 性 。 事 实 上 很 多 时 候 恰 


恰 是 在 系统 被 攻陷 后 , 人们 才 得 以 发 现 系统 中 存 eo 

在 的 薄弱 环节 ,进而 把 系统 的 安全 防护 提高 到 一 ea CD 

个 更 高 的 水 平 。 因 此 ,如 何 处 理 安 全 事件 是 安全 处 理 和 分 析 

防范 过 程 中 一 个 不 可 回避 的 重要 问题 。 KR 记 
信息 安全 事件 应 急 处 理 是 指 通过 制订 应 急 恢复 < 人 抑制 

计划 ,使 得 影响 信息 系统 安全 的 安全 事件 能 够 得 和 放 除 


到 及 时 啊 应 ,并 在 安全 事件 一 旦 发 生 后 进行 标 
示 、 记 录 、 分 类 和 处 理 ,直到 受 影响 的 业务 恢复 正 
常 运行 的 过 程 。 信 息 安 全 事件 应 急 处 理 中 有 5 个 关键 阶段 ,如 图 8-4 所 示 

1. 启动 准备 阶段 

该 阶段 的 目标 是 对 信息 安全 事件 做 出 初步 的 动作 和 啊 应 ,根据 获得 的 初步 材料 和 分 析 结 
果 , 预 估 事件 的 范围 和 影响 程度 ,制定 进一步 的 啊 应 策略 ,并 且 保 留 相 关 证 据 。 该 阶段 有 4 个 重 
要 的 控制 点 : 应 急 响 应 需求 界定 ; 服务 合同 或 协议 签订 ; 应 急 服务 方案 制订 ; 人 员 和 工具 准备 。 

启动 阶段 包括 建立 和 培训 安全 事件 响应 小 组 并 获得 必要 的 工具 和 资源 。 在 准备 工作 
中 ,组 织 也 要 以 风险 评估 的 结果 为 基础 ,通过 选择 和 实施 一 套 控制 措施 来 限制 安全 事件 的 发 
生 次 数 。 但 是 即使 在 实施 了 安全 控制 措施 后 ,残余 风险 依然 不 可 避免 ,而 且 没 有 哪 种 控制 措 
施 是 绝对 安全 的 ,所 以 对 破坏 网 络 安全 的 行为 要 进行 检测 ,一 旦 安全 事件 发 生 要 对 组 织 发 出 
报警 。 针 对 安全 事件 的 严重 程度 ,组织 可 以 采取 行动 ,通过 对 安全 事件 进行 限制 并 最 终 从 中 
恢复 来 减缓 安全 事件 所 造成 的 影响 。 在 安全 事件 得 到 适当 处 理 后 ,组织 要 提交 一 份 报告 , 详 
细 描 述 安 全 事件 的 起 因 、 造 成 的 损失 以 及 以 后 对 这 类 安全 事件 所 应 采取 的 防范 措施 和 步骤 。 

2. 检测 和 分 析 阶 段 

该 阶段 的 目标 是 对 信息 安全 事件 做 出 初步 的 动作 和 响应 ,根据 获得 的 初步 材料 和 分 析 
结果 , 预 估 事件 的 范围 和 影响 程度 ,制定 进一步 的 啊 应 策略 ,并且 保 留 相 关 证 据 。 该 阶段 有 
3 个 重要 控制 点 : 检测 对 象 及 范围 确定 ; 检测 方案 确定 ; 检测 实施 。 

1) 检测 对 象 及 范围 确定 

信息 安全 事件 的 发 生 方式 多 种 多 样 ,所 以 想 要 制定 一 个 具体 的 综合 流程 来 处 理 每 一 件 
安全 事件 是 不 切实 际 的 。 信 息 安全 事件 啊 应 过 程 中 最 困难 的 一 步 是 准确 检测 并 评估 可 能 的 
安全 事件 , 即 确定 一 个 安全 事件 是 否 会 发 生 ,如 果 发 生 ,那么 它 属 于 什么 类 型 .影响 程度 以 及 
影响 范围 。 

一 般 信 息 安 全 事件 的 发 生 都 是 有 事件 征兆 的 。 事 件 征兆 可 以 分 为 两 类 : 前 兆 和 迹象 。 
前 兆 是 指 未 来 可 能 发 生 的 安全 事件 的 征兆 ,而 迹象 是 指 已 经 发 生 或 正在 发 生 的 安全 事件 的 
征兆 。 前 兆 和 迹象 可 以 通过 许多 不 同 的 来 源 来 检测 前 兆 和 迹象 ,最 稼 用 的 有 计算 机 安全 软 
件 的 告警 日志、 公共 渠道 获取 的 信息 。 

2) 检测 方案 确定 

对 安全 事件 进行 分 析 和 验证 是 很 困难 的 。 下 面 的 一 些 建议 将 使 安全 事件 的 分 析 更 简便 
有 效 : 描述 网 络 和 系统 的 特征 ; 了 解 正常 行为 ; 使 用 集中 式 日 志 并 建立 日 志保 存 政策 ; 开 
展 安 全 事件 关联 分 析 ; 保证 所 有 主机 时 钟 同步 ; 维护 和 使 用 信息 知识 库 ; 利用 因特网 搜索 
引擎 进行 查找 ; 使 用 数据 包 监 听 工 具 来 获取 更 多 信息 ; 考虑 数据 简化 ; 经 验 是 不 可 代替 的 ; 


8-4 信息 安全 事件 应 急 处 理 关 键 阶段 
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回 其 他 人 寻求 帮助 。 

一 旦 安全 事件 响应 小 组 怀疑 正在 发 生 或 已 经 发 生 了 安全 事件 ,要 立即 记录 有 关 该 安全 
事件 的 全 部 事实 。 日 志 禾 是 一 个 简单 有 效 的 介质 方法 。 把 系统 事件 .电话 交谈 记录 下 来 并 
观察 其 中 变化 ,可 以 使 问题 处 理 更 有 效 、 更 系统 并 且 更 少 犯 错误 。 从 安全 事件 被 发 现 到 处 理 
完毕 过 程 中 所 采取 的 每 一 个 步骤 都 应 该 加 以 记录 ,并 注 明 时 间 。 按 照 安全 事件 当前 和 潜在 
的 技术 影响 与 受 影响 资源 的 关键 程度 这 两 个 因素 来 对 安全 事件 的 处 理 进行 优先 排序 。 

3) 检测 实施 

当 安 全 事件 被 分 析 完 毕 并 优先 排序 之 后 ,及 时 的 报告 和 通知 可 以 使 相关 人 员 发 挥 其 作 
用 ,目前 合作 处 理 安全 事件 可 能 是 最 好 的 方法 。 

3. 抑制 和 消除 阶段 

抑制 和 消除 阶段 的 目标 是 限制 攻击 的 范围 ,抑制 潜在 的 或 进一步 的 攻击 和 破坏 ,在 事件 
被 抑制 之 后 ,通过 对 有 关 恶 意 代 码 或 行为 的 分 析 结 果 找 出 导致 安全 事件 发 生 的 根源 ,并 了 予以 
彻底 消除 。 该 阶段 有 3 个 重要 控制 点 : 抑制 策略 的 选择 ; 证 据 收集 和 处 理 ; 抑制 消除 实施 。 

1) 抑制 策略 的 选择 

抑制 策略 一 般 随 安 全 事件 类 型 的 不 同 而 不 同 。 例 如 ,针对 邮件 病毒 感染 事件 的 限制 策 
略 和 针对 基于 网 络 的 分 布 式 拒绝 服务 的 限制 策略 就 很 不 一 样 。 抑 制 策 略 的 选择 可 以 根据 资 
源 的 潜在 破坏 和 丢失 .证据 的 保存 需求 .服务 的 可 用 性 (如 网 络 连 接 、 对 外 提供 的 服务 ) 执 行 策 
略 所 需 的 资源 和 时 间 、 策 略 的 有 效 性 (如 部 分 限制 了 安全 事件 、 完 全 限制 了 安全 事件 ) 解决 方 
案 的 持续 时 间 ( 如 紧急 工作 区 需要 在 4 小 时 内 拆除 临时 工作 区 需要 在 2 周 内 拆除 ) 等 来 确定 。 

2) 证 据 收 集 和 处 理 

从 计算 资源 中 收集 证 据 有 很 大 的 困难 。 通 常人 们 倾 铝 于 一 旦 怀疑 发 生 了 安全 事件 ,就 
从 相关 系统 中 寻找 证 据 。 许 多 安全 事件 都 会 引发 一 系列 的 动态 事件 ,初始 系统 快照 对 找 出 
问题 及 其 来 源 比 这 一 阶段 可 以 采取 的 大 多 数 其 他 行动 帮助 更 大 。 从 证 据 的 角度 看 ,获得 系 
统 快照 比 事 后 让 安全 事件 处 理 人 员 、 系 统管 理 员 及 其 他 人 员 在 调查 中 漫不经心 地 提供 机 需 
状态 要 好 得 多 。 

3) 抑制 消除 实施 

识别 攻击 者 过 程 中 最 篆 采 取 的 方法 有 确认 攻击 者 的 IP 地 址 ,扫描 攻击 者 的 系统 、 使 用 
网 络 搜索 引擎 查找 攻击 者 、 使 用 安全 事件 数据 库 、 对 攻击 者 可 能 的 通信 信道 进行 监视 。 

4. 恢复 阶段 

该 阶段 的 目标 是 将 信息 安全 事件 所 涉及 的 系统 还 原 到 正常 状态 。 该 阶段 有 2 个 重要 探 
制 点 : 恢复 方法 确定 ; 恢复 系统 。 

恢复 工作 通常 会 涉及 以 下 活动 : 从 备份 上 对 系统 进行 恢复 、. 从头 重 建 系统 .用 干净 的 版 
本 来 蔡 换 被 破坏 的 文件 、 安 冯 补 丁 、 更 换 口 令 并 加 强 网 络 边 界 安全 (如 防火 墙 规则 集 、 边 界 路 
申 硕 的 访问 控制 列表 )。 最 好 采用 更 高 级 别 的 系统 日 志 或 网 络 监视 作为 恢复 过 程 的 一 部 分 。 

在 8.3 节 和 8.4 节 将 介绍 信息 系统 灾难 恢复 的 相关 内 容 , 这 也 是 恢复 阶段 比较 重要 的 
环节 和 方法 。 

5. 事后 处 理 

该 阶段 的 目标 是 回顾 信息 安全 事件 处 理 的 全 过 程 ,整理 与 事件 相关 的 各 种 信息 ,并 尽 可 
能 地 把 所 有 情况 记录 到 文档 中 。 该 阶段 有 2 个 重要 控制 点 : 总 结 ; 报告 。 
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通过 回顾 发 生 何 种 事件 .采取 了 何 种 活动 来 解决 问题 以 及 解决 程度 如 何等 来 给 安全 事 
件 做 出 结论 ,从 而 不 断 进步 以 应 对 新 的 威胁 、 适 应 新 的 技术 并 汲取 经 验 教训 。 

在 安全 事件 发 生 时 ,被 收集 的 安全 事件 数据 应 该 在 多 个 方面 都 有 用 。 这 些 数据 ,尤其 是 
事件 总 耗费 时 间 和 成 本 可 能 会 被 用 来 说 明 安 全 事件 啊 应 小 组 额外 资金 的 合理 性 。 安 全 事件 
特征 研究 可 能 会 揭示 出 系统 安全 弱点 和 威胁 ,以 及 安全 趋势 的 变化 。 这 些 数据 也 可 以 反馈 
回 风险 评估 过 程 中 ,并 最 终 指引 着 对 补充 安全 控制 的 选择 和 实现 。 最 后 应 该 将 所 有 收集 的 
证 据 保 存 几 个 月 或 几 年 。 


8. 3 信息 系 2 灾难 恢复 


8.3.1 灾难 与 灾难 恢复 

1. 灾难 

灾难 (disaster) 是 一 种 具有 破坏 性 的 突 发 事件 ,灾难 有 很 多 种 形式 ,但 是 总 体 来 说 可 分 
为 自然 灾难 和 人 为 灾难 ,如 图 8-5 所 示 。 目 然 灾 难 是 比较 典型 的 灾难 事件 ,如 火灾 洪水、 地 
震 龙卷风、 台风 等 一 般 会 对 单位 的 正常 运营 和 社会 的 正常 秩序 造成 影响 。 而 人 为 因素 引发 
的 灾难 经 党 也 会 造成 大 祸 , 最 明显 的 影响 是 信息 服务 的 中 断 和 延迟 ,导致 信息 系统 丧失 技术 
服务 能 力 ,致使 业务 无 法 正常 运营 ,信息 系统 停顿 的 时 间 越 长 ,单位 的 信息 化 程度 越 高 ,损失 
就 越 大 ,如 软 便 件 错误 、 通 信和 网 络 中 断 、 应 用 系统 故障 、 黑 客 和 病毒 攻击 等 。 
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2. 典型 的 灾难 

AOL( 美 国 在 线 ) ,在 1996 年 8 月 ,由 于 维护 工作 中 的 人 为 错误 造成 24 小 时 停机 ,直接 
损失 达 300 一 500 万 美元 ,股票 价格 相对 于 前 一 天 下 降 26%。 

2001 年 9 月 11 日 ,美国 世贸 中 心 双 子 大 厦 遭 受 了 谁 也 无 法 预料 的 恐怖 打击 ,根据 相关 
调查 统计 ,在 这 两 栋 大 楼 中 共有 1200 家 公司 ,其 中 仅 400 家 公司 执行 了 灾难 恢复 计划 ,而 大 
多 数 公 司 因为 没有 建立 灾难 恢复 系统 ,数据 损毁 、 丢 失 , 导 致 业务 无 法 恢复 ,最 后 只 能 宣布 
倒闭 。 

2001 年 11 月 ,由 于 对 痰 钼 热 的 枣 慨 ,临时 关闭 了 帝国 蓝 十 字 蓝 导数 据 中 心 。 

2003 年 , 当 AT&T 无 线 试图 对 Siebel 客户 关系 管理 (CRM) 软 件 进 行 升级 的 时 候 , 原 
定 一 个 周末 就 能 完成 的 项 目 演 变 为 一 场 历时 六 个 星期 的 灾难 : 这 次 CRM 软件 的 升级 使 
AT& 人 本 无线 损失 了 1 亿 多 美元 , 仅 增 加 的 用 户 欠 款 、 员 工 加 班 费 和 承包 商 的 佣金 就 高 达 
7500 万 美元 。 此 外 ,技术 故障 也 导致 该 公司 2003 年 第 四 季度 的 新 增 用 户 数 急 降 82%。 

据 统计 ,美国 年 均 处 理 灾 难 性 事件 数 十 宗 。 

回 过 头 来 看 一 下 国内 发 生 的 一 些 典 型 案例 。 

2003 年 7 月 4 日 ,首都 机 场 离 港 系统 因 发 生 设备 故障 而 瘫痪 93 分 钟 ,无 法 为 旅客 办 理 
登 机 手续 ,共有 71 个 出 港 航班 因此 发 生 延 误 , 至 少 3000 名 旅客 无 法 准时 登 机 (摘自 《京华 时 
报 》、 中 华 网 )。 

2005 年 5 月 1 日 ,黄金 周 第 一 天 下 午 2 点 多 ,北京 市 铁路 局 的 计算 机 售票 系统 出 现 临 
时 性 故障 ,致使 全 市 各 火车 站 的 售票 窗口 、 代 售 网 点 的 售票 工作 全 部 处 于 瘫痪 状态 ,时 间 长 
达 一 个 多 小 时 。 而 很 多 打算 当日 购 票 外 出 的 乘客 也 因此 被 迫 改 变 了 离 京 日 程 ,直到 下 午 
3 点 50 分 左右 ,次 痪 的 票务 网 络 系 统 才 开始 恢复 正常 ,售票 系统 出 现 问题 的 过 程 中 ,至 少 有 
近 2000 名 乘客 停滞 在 火车 站 ,北京 站 公安 段 为 此 出 动 了 300 余 名 警力 在 现场 维持 秩序 ,以 
防 发 生 拥 挤 等 突 发 事件 (摘自 《4 计算 机 世界 闪 北 京 青年 报 》、 新 华 网 )。 

2005 年 6 月 9 日 ,北京 某 证 券 股票 交易 系统 出 现 故 障 , 迫 使 股民 望 * 红 ”兴叹 (摘自 《经 
济 观 察 报 兴 京华 时 报 》、 天 极 网 )……… 

2005 年 以 来 ,国内 个 别 银行 数据 运营 中 心 的 计算 机 系统 相继 发 生 故 障 , 造 成 生产 系统 
停机 ,导致 部 分 省 分 行 、 总 行营 业 部 、 机 构成 员 的 业务 、 交 易 中 断 (摘自 (金融 时 报 》)。 

2006 年 4 月 20 日, 中国 银联 网 络 长 时 间 全 面 竣 痪 ,银行 卡 交 易 大 面积 停止 , 据 估 计 涉 
及 全 球 至 少 34 万 家 商户 ,很 多 人 不 能 取款 转账 ,不 能 刷卡 消费 (摘自 《金融 时 报 》)。 

众多 的 灾难 过 后 , 留 给 人们 的 思考 就 是 如 何 减 少 损 失 、 如 何 有 效 地 防范 风险 、 如 何 使 业 
务 不 间断 等 。 例 如 摩根 士 丹 利 公 司 .纽约 交易 所 (NYBOT) 就 是 很 好 的 案例 。 在 “9。，11” 事 
发 几 个 小 时 后 ,摩根 士 丹 利 公司 便 宣 布 : 全 球 营 业 部 可 以 在 第 二 天 照常 工作 。 这 主要 归功 
于 该 公司 建立 的 数据 备份 和 远程 容 灾 系统 ,它们 保护 了 公司 的 重要 数据 ,在 关键 时 刻 挽 救 了 
摩根 士 丹 利 , 同 时 也 在 一 定 程 度 上 挽救 了 全 球 的 金融 行业 。NYBOT 的 前 号 CSCF 曾经 历 
了 世贸 中 心 车 库 爆 炸 案 (1993 年 ) ,从 此 吸取 教训 而 与 灾难 恢复 服务 商 制 订 了 BCP 计划 ,这 
个 计划 坚持 演练 了 10 年 。 当 “9。11” 事 件 发 生 而 导致 NYBOT 大 楼 被 毁 时 , 几 小 时 后 就 在 
长岛? 开始 恢复 交易 ,这 样 短 的 时 间 内 NYBOT 恢复 了 它 在 异地 的 运营 ,因为 它 很 早 就 制 
订 了 BCP 计划 ,并 在 灾难 发 生 时 发 挥 了 重要 作用 ,NYBOT 劫 后 逢 生 的 关键 是 BCP 计划 的 
策划 和 坚持 。 
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经 历 过 灾难 的 洗礼 ,一 大 批 公 司 因 为 重要 数据 的 毁灭 而 无 法 恢复 营业 ,与 此 同时 ,有 的 
公司 因 建 立 、 执 行 了 科学 有 效 的 信息 系统 灾难 恢复 机 制 , 从 而 迅速 恢复 了 业务 ,得 到 绝 处 着 
生 的 机 会 。 这 些 活生生 的 案例 给 和 人们 带 来 了 深刻 的 启示 : 重要 信息 系统 必须 构建 有 效 的 灾 
难 恢复 系统 并 建立 业务 连续 性 机 制 。 

3. 灾难 恢复 

在 《信息 安全 技术 信息 系统 灾难 恢复 规范 (GB/T 20988 一 2007)》 中 定义 的 灾难 恢复 
是 指 将 信息 系统 从 灾难 造成 的 故障 或 瘫痪 状态 恢复 到 可 正常 运行 状态 ,并 将 其 支持 的 业务 
功能 从 灾难 造成 的 不 正常 状态 恢复 到 可 接受 状态 而 设计 的 活动 和 流程 。 它 的 目的 是 减轻 灾 
难 对 单位 和 社会 带 来 的 不 良 影响 ,保证 信息 系统 所 文 持 的 关键 业务 功能 在 灾难 发 生 后 能 及 
时 恢复 和 继续 运作 。 

为 了 减少 灾难 带 来 的 损失 和 实现 灾难 恢复 所 做 的 事前 计划 和 安排 被 称 为 灾难 恢复 
规划 。 

灾难 发 生 时 接替 生产 系统 运行 进行 数据 处 理 和 支持 关键 业务 功能 运作 的 场所 被 称 为 灾 
难 备份 中 心 。 它 包括 备份 数据 处 理 中 心 、 备 用 的 工作 环境 、 备 用 生活 设施 和 技术 支持 及 运行 
管理 人 员 。 


8.3.2 灾难 恢复 的 发 展 


1. 国外 灾难 恢复 发 展 的 历史 

“9。11” 事 件 后 ,Globe Continuity 公司 对 美国 、 英 国 、 澳 大 利 亚 及 加 拿 大 共 565 个 公司 
使 用 灾难 备份 中 心 的 情况 进行 了 调查 ,发 现在 拥有 或 租用 了 灾难 备份 中 心 的 公司 中 ,56% 使 
用 商业 化 的 灾难 备份 服务 ,29% 使 用 自 有 的 灾难 备份 中 心 ,15% 在 商业 化 灾难 备份 服务 的 基 
础 上 同时 拥有 自己 的 备份 设施 。 使 用 灾难 备份 服务 外 包 的 比例 达到 了 71%。 

从 用 户 的 行业 划分 来 看 ,灾难 恢复 行业 面 回 的 主要 客户 还 是 金融 业 。 事 实 上 ,有 近 一 半 
的 灾难 备份 中 心 是 专门 为 金融 行业 服务 的 。 据 CPR 估计 ,美国 灾难 恢复 行业 的 年 销售 额 中 
有 45% 来 自 金融 行业 。 

西方 发 达 国 家 重要 机 构 都 在 远离 主 数据 中 心 的 地 方 拥有 一 个 灾难 恢复 系统 ,如 美国 的 
Wells Fargo Bank .法国 的 法 兰 西 银行 .新 加 坡 的 Citibank 等 。 对 于 信息 系统 依赖 程度 较 高 
的 公司 往往 需要 拿 出 总 预算 的 7% 一 15% 用 于 灾难 恢复 ,每 月 要 支付 50000 一 100000 美元 
的 费用 ,大 公司 甚至 达到 每 月 100 万 美元 。 据 Meta 预测 ,在 全 球 大 公司 中 ,用 于 业务 连续 
计划 的 投入 将 会 持续 上 升 ,到 2007 年 ,这 笔 投 入 将 平均 达到 7%。 

2. 我 国信 息 系 统 灾难 恢复 的 发 展 情况 

20 世纪 90 年 代 末 期 ,一 些 单位 在 信息 化 建设 的 同时 ,开始 关注 对 数据 安全 的 保护 , 进 
行 数据 的 备份 。2000 年 ,千年 虫 ? 事 件 引 发 了 国内 对 于 信息 系统 灾难 的 第 一 次 集体 性 关 
注 ,但 “9。11? 事 件 所 市 来 的 震动 才 真 正 引 起 了 大 家 对 灾难 恢复 的 关注 。 

2003 年 9 月 ,为 加 强 我 国信 息 安 全 保障 工作 ,中 共 中 央 办 公 厅 、 国 务 院 办 公 厅 转发 了 
《国家 信息 化 领导 小 组 天 于 加 强 信息 安全 保障 工作 的 意见 兴 中 办 发 L2003j27 号 ,以 下 简称 
《意见 》 ,其 中 明确 提出 要 重点 保障 重要 信息 系统 的 安全 。 当 前 ,银行 电力、 民航、 铁路 .证 
券 海关 、 税 务 、 保险 等 信息 系统 以 及 基础 信息 网 络 中 的 网 管 . 计 费 和 互联 网 域名 注册 信息 系 
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统 ( 以 上 统称 重要 信息 系统 ) 的 安全 直接 影响 到 国民 经 济 的 正常 运行 和 群众 生活 ,直接 关系 
到 社会 稳定 和 国家 安全 。 做 好 灾难 备份 工作 ,是 保障 重要 信息 系统 安全 稳定 运行 的 关键 环 
节 。《 意 见 》 特 别 强调 各 基础 信息 网 络 和 重要 信息 系统 的 建设 要 充分 考虑 灾难 发 生 时 的 抗 毁 
性 与 灾难 恢复 能 力 。 

2004 年 9 月份, 国务 院 信 息 办 公 室 发 布 4 关 于 做 好 重要 信息 系统 灾难 备份 工作 的 通 
知 》, 强 调 了 统筹 规划 资源 共享 . 平 战 结合 ”的 灾难 备份 工作 原则 。 

2005 年 发 布 国务 院 信 息 化 办 公 室 发 布 4 重 要 信息 系统 灾难 恢复 指南 》,2007 年 6 月 ,《 重 
要 信息 系统 灾难 恢复 指南 ) 经 修订 完善 后 正式 升级 为 国家 标准 ,国家 质量 监督 检验 检疫 总 局 
以 国家 标准 的 形式 正式 发 布 了 《信息 安全 技术 信息 系统 灾难 恢复 规范 》(GB/T 20988 
2007) ,该 标准 于 2007 年 11 月 正式 实施 。 

人 民 银 行 、 银 监 会 .保监会 等 出 台 了 关于 相关 行业 灾难 恢复 的 政策 。 政 府 对 重要 行业 和 
地 方 ,也 已 经 开始 和 正在 建设 相关 的 灾 备 中 心 。 


8.4 信息 系统 灾难 恢复 工作 过 程 


灾难 恢复 建设 是 一 个 系统 性 工程 ,涉及 信息 系统 管理 的 使 用 或 管理 组 织 ( 以 下 简称 组 
织 ) 的 组 织 架 构 、 资 源 投 入 建设 与 维护 、 流 程 制 度 变 更 及 外 部 协作 等 多 个 领域 ,需要 评 信 和 灾 
难 恢复 规划 过 程 的 风险 .等 备 所 需 资 源 、 确 定 详细 任务 及 时 间 表 ,监督 和 管理 规划 活动 .跟踪 
和 报告 任务 进展 以 及 进行 问题 管理 和 变更 管理 。 灾 难 恢复 建设 管理 的 目标 是 在 资源 有 限 的 
前 提 下 根据 组 织 的 业务 需求 进行 灾难 恢复 建设 , 减 小 灾难 给 组 织带 来 的 损失 ,保障 业务 的 连 

总 体 来 说 ,灾难 恢复 规划 是 一 个 周而复始 .持续 改进 的 过 程 ,包含 灾 难 恢复 需求 的 确定 ， 
灾难 恢复 宋 略 的 制定 ,灾难 恢复 宋 略 的 实现 , 灾难 恢复 预案 的 制定 、 落 实 和 管理 4 个 阶段 。 

灾难 恢复 主要 涉及 的 技术 和 方案 有 数据 的 复制 .备份 和 恢复 ,可 用 性 方案 和 远程 集群 
等 ,但 灾难 恢复 不 仅仅 是 恢复 计算 机 系统 和 网 络 , 除 了 技术 层面 的 问题 ,还 涉及 风险 分 析 、 业 
务 影响 分 析 、 寅 上 略 制定 和 实施 等 方面 。 灾 难 恢复 是 一 项 系统 性 、 多 学 科 的 专业 性 工作 。 


8.4.1 灾难 恢复 的 需求 分 析 

1. 方法 和 内 容 

1) 灾难 恢复 需求 分 析 的 实施 和 原则 

对 组 织 来 说 ,在 进行 灾难 恢复 系统 建设 之 前 ,首先 应 该 对 IT 系统 的 现状 、 风 险 以 及 随 
之 所 遭受 的 业务 影响 有 清醒 的 认 知 ,同时 兼顾 预防 和 控制 两 个 方面 。 风 险 分 析 的 结果 是 一 
份 有 关 风 险 分 析 的 详细 陈述 报告 ,包括 风险 的 精确 描述 、 可 能 发 生 的 风险 、 风 险 的 范围 .风险 
的 前 提 或 者 限制 因素 、 全 面 识别 信息 系统 的 灾难 风险 的 威胁 和 脆弱 性 ,以 及 需要 采取 的 保障 
业务 连续 性 和 减少 损失 的 措施 。 

根据 风险 分 析 的 结果 ,确定 业务 影响 分 析 的 目标 ,评估 业务 中 断 影 响 ,分 析 业 务 功 能 恢 
复 条 件 等 ,得 到 一 组 防范 灾难 风险 的 指标 ,为 下 一 步 制 定 灾难 恢复 策略 打下 基础 。 

为 了 能 够 成 功 完成 灾难 恢复 需求 分 析 ,应 按照 一 定 的 要 求 和 原则 来 实施 。 

(1) 需求 分 析 团 队 的 建立 。 分 析 人 员 要 具有 深厚 的 咨询 分 析 经 验 , 并 且 熟 悉 用 户 的 业 


务 情况 。 

(2) 制定 符合 实际 情况 的 项 目 实施 流程 和 日 程 安排 。 

(3) 制定 所 要 达到 的 目标 和 分 析 的 范围 ,并 得 到 用 户 的 确认 。 

(4) 选择 符合 实际 并 得 到 用 户 确认 的 分 析 方 法 。 

(5) 准确 、 详 细 地 收集 所 有 相关 信息 ,没有 遗漏 。 

(6) 准确 地 对 分 析 要 素 进 行 赋值 。 

(7) 和 业务 人 员 充 分 地 交流 .沟通 ,深刻 理解 业务 梳理 。 

同时 ,灾难 恢复 的 需求 分 析 还 需要 得 到 用 户 积 极 的 支持 和 配合 ,才能 确保 工作 的 顺利 完 
成 ,用 户 需要 在 如 下 几 个 阶段 进行 配合 。 

(1) 执行 项 目的 条 件 。 用 户 高 度 支 持 和 配合 需求 分 析 工 作 : 双方 对 需求 分 析 的 范围 、 
目标 达成 一 致 ,用 户 为 需求 分 析 团 队 提 供 必 要 的 工作 场所 和 一 些 基 础 设施 。 

(2) 项 目 执 行 的 过 程 。 在 项 目 执 行 过 程 中 ,用 户 各 业务 部 门 积 极 配 合 分 析 团 队 的 工作 ， 
及 时 提供 真实 的 信息 ,以 完成 数据 的 收集 。 

(3) 项 目 结果 。 在 项 目 分 析 结 果 出 来 后 ,用 户 积极 反馈 并 提出 相关 意见 和 建议 ,协助 分 
析 。 团 队 及 时 修改 和 完善 分 析 结 果 ,并 最 终 认 可 需求 分 析 结 果 。 

2) 灾难 需求 分 析 的 过 程 

在 了 解 灾难 恢复 需求 分 析 的 原则 和 所 需 用 户 支 持 的 基础 上 ,一 般 会 根据 图 8-6 所 示 的 
过 程 来 进行 需求 分 析 。 


清理 用 户 业 务 流程 
RE 过 于 | ,| 灾难 恢复 策略 
清理 用 户 数据 流程 制定 的 依据 
需求 分 析 的 过 程 片 | 数据 收集 | 一 数据 分 析 
图 8-6 ”灾难 恢复 需求 分 析 过 程 
(1) 数据 收集 阶段 。 为 了 能 顺利 完成 信息 系统 灾难 恢复 需求 分 析 ,需求 分 析 团 队 盲 先 
需要 和 用 户 进行 沟通 ,以 了 解 用 户 当 前 实施 灾难 恢复 系统 的 背景 ,并 对 用 户 当 前 的 信息 系 


现状 和 业务 系统 情况 有 初步 的 了 解 ,然后 根据 用 户 的 业务 种 类 和 形式 等 实际 情况 来 决定 需 
求 分 析 的 方法 和 思路 。 一 般 采 用 问卷 调查 会面 访谈 和 研讨 会 的 方法 收集 数据 。 

(2) 数据 分 析 阶 段 。 根 据 已 收集 的 数据 进行 分 析 , 理 清 用 户 业 务 流程 和 数据 流程 。 

(3) 结论 达成 共识 阶段 。 通 过 数据 分 析 , 需 求 分 析 团 队 对 分 析 结 论 达 成 共识 。 

(4) 最 终结 果 阶 段 。 把 分 析 结 论 提 交 给 用 户 审 查 , 并 根据 用 户 的 反馈 意见 进行 修改 和 
完善 ,最 终 得 到 用 户 的 认可 。 

(5) 结果 展示 阶段 。 需 求 分 析 团 队 回 用 户 高 层 汇报 分 析 结 果 , 并 期 望 得 到 用 户 高 层 的 
认可 ,从 而 将 结论 作为 下 一 步 制 定 灾 难 恢复 策略 的 依据 。 

后 面 的 内 容 就 将 对 灾难 恢复 需求 分 析 所 涉及 的 风险 分 析 . 业务 影响 分 析 和 灾难 恢复 目 
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标 策 略 制定 的 内 容 分 别 进行 介绍 。 
2. 风险 分 析 


在 《信息 安全 技术 信息 系统 灾难 恢复 规范 (GB/T 20988 一 2007)》 中 规定 ,风险 分 析 的 主 
要 内 容 包 括 : 标识 信息 系统 的 资产 价值 ; 识别 信息 系统 面临 的 自然 的 和 人 为 的 威胁 ; 识别 
信息 系统 的 脆弱 性 ; 分 析 各 种 威胁 发 生 的 可 能 性 并 定量 或 定性 描述 可 能 造成 的 损失 ; 识别 
现 有 的 风险 防范 和 控制 措施 。 通 过 技术 和 管理 手段 ,防范 或 控制 信息 系统 的 风险 。 依 据 防 
范 或 控制 风险 的 可 行 性 和 残余 风险 的 可 接受 程度 ,确定 对 风险 的 防范 和 控制 措施 . 信息 系 
统 风 险 评估 方法 可 参考 (信息 安全 技术 信息 安全 风险 评估 规范 (GB/T 20984 一 2007)》。 

信息 系统 灾难 恢复 的 风险 分 析 主 要 根据 组 织 的 现状 和 业务 特点 ,全 面 识别 并 分 析 影 响 
信息 系统 正常 运行 的 风险 因素 ,分 析 这 些 因 素 发 生 的 可 能 性 。 风 险 分 析 的 范 国 主要 考虑 组 
织 所 在 地 区 范围 和 与 之 在 经 济 、. 业务 上 有 紧密 联系 的 邻近 地 区 的 交通 .电信 能源 及 其 他 关 
键 基础 设施 遭 到 严重 破坏 ,或 造成 此 地 区 的 大 规模 人 口 疏 散 或 无 法 联系 后 组 织 所 面 对 的 可 
能 性 风险 ,同时 还 需要 考虑 单位 信息 系统 中 断 所 造成 的 系统 性 风险 。 系 统 性 风险 指 单位 或 
部 门 因 不 能 履行 其 应 尽 义 务 而 导致 其 他 机 构 不 能 开展 业务 ,引起 连锁 反应 ,从 而 造成 的 各 种 
社会 影响 和 损失 。 

风险 分 析 是 业务 影响 分 析 与 制定 灾难 恢复 策略 和 预案 的 前 期 准备 条 件 , 以 便 在 策略 制 
定 和 预案 制定 时 更 具有 针对 性 ,考虑 因素 更 为 全 面 ,规划 的 实施 成 本 会 更 合理 ,从 而 有 效 地 
保护 投资 ,获得 更 大 的 投资 回报 率 。 

3. 业务 影响 分 析 

1) 业务 影 啊 分 析 的 方法 和 结论 

风险 分 析 完 成 后 ,得 到 组 织 一 系列 存在 风险 的 业务 系统 范围 ,业务 影响 分 析 则 是 对 这 些 
存在 风险 的 业务 系统 的 功能 ,以 及 当 这 些 功能 一 旦 失去 作用 时 可 能 造成 的 损失 和 影响 进行 
分 析 ,以 确定 组 织 关 键 业 务 功 能 及 其 相关 性 ,确定 文 持 各 种 业务 功能 的 资源 ,明确 相关 信息 
的 保密 性 、 完 整 性 和 可 用 性 要 求 ,确定 这 些 业 务 系统 的 恢复 需求 ,为 下 一 阶段 制定 灾难 恢复 
策略 提供 基础 和 依据 。 

业务 影响 分 析 一 般 采 用 问卷 调查 、 人 员 访 谈 、 会 议 讨论 等 方法 ,从 业务 系统 情况 和 业务 
中 断 影 响 情 况 两 方面 来 收集 和 分 析 组 织 业 务 系统 的 相关 信息 ,进而 分 析 获 得 以 下 结果 。 

(1) 确定 支持 业务 开展 的 信息 系统 功能 。 

(2) 制定 不 同业 务 系统 的 业务 影响 分 析 指 标 , 从 而 能 够 确定 中 断 对 业务 的 损失 和 影响 。 

(3) 确定 各 业务 系统 的 恢复 目标 和 内 部 依赖 关系 。 

(4) 明确 各 业务 系统 优先 级 和 业务 系统 灾难 恢复 顺序 。 

(5) 明确 各 业务 系统 功能 恢复 的 最 小 资源 需求 和 恢复 策略 。 

2) 评 佑 中断 影 啊 

分 析 团 队 在 业务 影响 分 析 时 ,一 般 采 用 定量 和 定性 的 方法 ,对 各 种 业务 功能 的 中 断 造成 
的 影响 进行 评估 。 

定量 分 析 是 以 量化 方法 评估 业务 功能 的 中 断 可 能 给 组 织带 来 的 直接 经 济 损失 和 间接 经 
济 损失 。 直 接 经 济 损失 包括 资产 的 损失 收入 的 减少 、 额 外 费用 的 增加 ,管理 机 构 的 罚款 等 。 
间接 经 济 损失 包括 丧失 的 预期 收益 .丧失 的 商业 机 会 .影响 的 市 场 份 氛 。 用 户 信息 系统 中 断 
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直接 经 济 损失 分 析 举 例如 表 8-4 所 示 。 
表 8-4 用 户 信 息 系 统 中 断 直 接 经 济 损失 分 析 举 例 


bi 

资产 的 损失 -| vv | 
2 | 
大 2 | | vv | | 
4 | 

-一 二 一 一 一 天- 一 V 
大 2 | | V 
CE i 

额外 费用 的 | 8 | vv | | 

增加 2 | 
_KF24 | VY | | 
4 | 

管理 机 构 的 | 8 | vv | | 

罚款 2 | vv | 
大 2 | vv | | 


定性 分 析 是 运用 归纳 与 演绎 、 分 析 与 综合 以 及 抽象 与 概括 等 方法 , 评 佑 业务 功能 的 中 断 
可 能 给 组 织 市 来 的 非 经 济 损失 ,包括 组 织 声誉 社会 和 政治 影响 、 社 会 和 政治 影响 、 员 工 的 信 
心 .合作 伙伴 影响 等 。 

用 户 信息 系统 中 断 非 经 济 损失 分 析 举 例如 表 8-5 所 示 。 

表 8-5 用 户 信息 系统 中 断 非 经 济 损失 分 析 举 例 
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4. 确定 灾难 恢复 目标 

根据 前 面 的 风险 分 析 和 业务 影响 分 析 , 可 以 了 解 到 组 织 所 存在 的 各 种 风险 及 其 程度 ,以 
及 组 织 灾难 恢复 系统 建设 的 需求 .业务 系统 的 应 急需 求 和 恢复 先后 顺序 ,完成 了 系统 灾难 恢 
复 的 各 项 指标 。 应 当 根 据 风险 分 析 和 业务 影响 分 析 的 结论 确定 最 终 用 户 需求 和 灾难 恢复 目 
标 ,应 该 包括 以 下 5 个 方面 。 

(1) 灾难 恢复 范围 。 根 据 业 务 影 响 分 析 确 定 的 业务 恢复 范围 ,确定 信息 系统 的 恢复 
范围 。 

(2) 灾难 恢复 时 间 范 围 。 根 据 业 务 影响 分 析 的 结果 ,确定 各 系统 的 灾难 恢复 时 间 目 标 
(RTO) 要 求 和 恢复 点 目标 。 

(3) 灾难 恢复 顺序 要 求 。 根 据 业 务 影响 分 析 中 业务 恢复 的 优先 级 要 求 , 结 合 各 系统 间 
的 资源 依赖 关系 ,制定 信息 系统 的 恢复 顺序 和 优先 级 关系 。 

(4) 灾难 恢复 系统 建设 规划 。 根 据 灾难 恢复 范围 恢复 时 间 目 标 和 灾难 恢复 处 理 能 力 
的 要 求 ,结合 单位 未 来 发 展 规划 ,制定 灾难 恢复 系统 建设 的 项 目 目标 和 时 间 进 度 目 标 , 并 按 
照 进 度 要 求 合理 规划 预算 投入 。 

(5) 根据 上 述 灾 难 恢复 需求 分 析 的 结果 和 灾难 恢复 目标 ,就 可 以 制定 灾难 恢复 策略 , 具 
体 策 略 的 制定 方法 参见 8. 4.2 市 。 


8.4.2 灾难 恢复 策略 的 制定 

1. 灾难 恢复 策略 内 容 和 组 成 

灾难 恢复 策略 是 一 个 组 织 为 了 达到 灾难 恢复 的 需求 目标 而 采取 的 途径 , 它 包 含 实现 的 
计划 方法 和 可 选 的 方案 。 

灾难 恢复 策略 是 基于 组 织 对 于 灾难 恢复 需求 确切 了 解 的 基础 上 做 出 的 ,其 根本 目的 是 
为 了 达到 在 灾难 恢复 需求 中 描述 的 实现 目标 。 灾 难 恢复 策略 是 指导 整个 灾难 恢复 建设 的 纲 
领 性 文件 ,描述 了 灾难 恢复 需求 的 实现 步骤 和 实现 方法 。 但 是 ,灾难 恢复 策略 不 等 同 于 具体 
的 技术 方案 ,灾难 恢复 策略 的 制定 是 有 原则 性 和 方向 性 的 。 

可 以 认为 灾难 恢复 需求 是 站 在 信息 系统 用 户 或 者 组 织 管理 者 的 角度 提出 的 要 求 和 目 
标 ,而 灾难 恢复 策略 是 从 信息 系统 管理 者 的 角度 通盘 考虑 了 信息 系统 现状 .成 本 和 可 行 性 之 
后 给 出 的 对 于 实现 方式 、 实现 计划 的 摘 述 ,而 恢复 方案 则 是 根据 灾难 恢复 策略 的 要 求 , 从 实 
施 人 员 的 角度 给 出 的 具体 执行 层面 的 选择 和 描述 。 

2. 灾难 恢复 资源 要 素 

1) 灾难 恢复 资源 的 关键 要 素 

组 织 制定 的 信息 系统 灾难 恢复 方案 能 否 成 功 实 施 、 灾 难 发 生 时 能 否 起 到 真正 恢复 信息 
系统 、 确 保 业 务 连续 性 的 作用 ,关键 要 考虑 信息 系统 灾难 恢复 建设 的 一 些 基 本 要 素 , 例 如 : 
有 没有 安全 的 、 能 抵抗 一 定 地 震 强 度 的 场地 ; 有 没有 考虑 原先 业务 系统 的 网 络 的 元 余 ; 有 
没有 制定 一 套 完 善 的 应 急 预 案 和 灾难 处 理 的 流程 ; 有 没有 建立 一 文 能 在 平时 对 数据 中 心 进 
行 运行 维护 而 在 灾难 发 生 时 能 应 急 处 理 和 恢复 系统 的 团队 和 等。 这些 因素 是 灾难 恢复 建设 必 
不 可 少 的 组 成 部 分 ,制约 着 信息 系统 灾难 恢复 建设 的 成 功 与 否 。 

在 《信息 安全 技术 信息 系统 灾难 恢复 规范 (GB/T 20988 一 2007)》 中 将 灾难 恢复 资源 主 
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要 关键 要 素 分 成 7 类 ,如 图 8-7 所 示 。 


灾难 恢复 预案 数据 备份 系统 
备份 数据 处 理 系统 
灾难 恢复 资源 的 7 要 素 
备用 网 络 系统 
专业 技术 支持 能 备用 基础 设施 


8-7 ”灾难 恢复 资源 的 7 要 素 


(1) 数据 备份 系统 。 一 般 由 数据 备份 的 硬件、 软件 和 数据 备份 介质 (以 下 简称 介质 ) 组 
成 ,如 果 是 依靠 电子 传输 的 数据 备份 系统 。 还 包括 数据 备份 线路 和 相应 的 通信 设备 。 

(2) 备用 数据 处 理 系统 。 指 备用 的 计算 机 、 外 围 设备 和 软件 。 

(3) 备用 网 络 系统 。 最 终 用 户 用 来 访问 备用 数据 处 理 系统 的 网 络 , 包 含 备 用 网 络 通信 
设备 和 备用 数据 通信 线路 。 

(4) 备用 基础 设施 。 灾 难 恢复 所 需 的 ,支持 灾难 备份 系统 运行 的 建筑 \ 设 备 和 组 织 , 包 
括 介 质 的 场 外 存放 场所 、 备 用 的 机 房 及 灾难 恢复 工作 辅助 设施 ,以 及 容许 灾难 恢复 人 员 连 续 
停留 的 生活 设施 。 

(5) 专业 技术 支持 能 力 。 对 灾难 恢复 系统 的 运转 提供 支撑 和 综合 保障 的 能 力 , 以 实现 
灾难 恢复 系统 的 预期 目标 ,包括 便 件 、 系 统 软件 和 应 用 软件 的 问题 分 析 和 人 处理 能 力 、 网 络 系 
统 安全 运行 管理 能 力 ,沟通 协调 能 力 等 。 

(6) 运行 维护 管理 能 力 。 包 括 运行 环境 管理 .系统 管理 .安全 管理 和 变更 管理 等 。 

(7) 灾难 恢复 预案 。 和 定义 信息 系统 灾难 恢复 过 程 中 所 需要 的 任务 、 行动. 数据 和 资源 
的 文件 ,用 于 指导 相关 人 员 在 预定 的 灾难 恢复 目标 内 恢复 信息 系统 文 持 的 关键 业务 
功能 。 

2) 灾难 恢复 资源 的 获取 方式 及 要 求 

制定 灾难 恢复 策略 必须 对 灾难 恢复 资源 要 素 的 获取 方式 和 要 素 进行 分 析 和 描述 。 灾 难 
恢复 资源 各 要 素 的 需求 情况 如 表 8-6 所 示 。 


表 8-6 灾难 恢复 资源 各 要 素 的 需求 情况 


灾难 恢复 资源 要 素 获取 方式 要 求 


CT 数据 备份 的 范围 ; 
数据 备份 系统 ee (2) 数据 备份 的 时 间 间隔 ; 
一 (3) 数据 备份 的 技术 及 介质 


(1) 事先 与 厂商 签订 紧急 供 货 协议 ; 
(2) 事先 购买 所 需 的 数据 处 理 设备 并 存 
放 在 灾难 备份 中 心 或 安全 的 设备 仓 


(1) 数据 处 理 能 力 ; 
(2) 与 主 系统 的 兼容 性 要 求 ; 
(3) 平时 处 于 就 绪 还 是 运行 状态 


备用 数据 处 理 系统 库 中 ， 


(3) 利用 商业 化 灾难 备份 中 心 或 签 有 互 
惠 协 议 的 机 构 已 有 的 兼容 设备 


a 
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续 表 


灾难 恢复 资源 要 素 获取 方式 要 求 


(1) 备用 网 络 通信 设备 采用 备用 数据 处 ee 
理 系 统 方式 获取 ; 


NN (2) 备用 数据 通信 线路 可 使 用 自 有 数据 | “2” 绚 定 由 党 遍 信 设 竺 的 功能 和 容 

通信 线路 或 租用 公用 数据 通信 线路 nin 
定 速率 连接 到 备用 数据 处 理 系 统 

(1) 由 组 织 所 有 或 运行 ; (1) 与 主 中 心 的 距离 ; 

备用 基础 设施 (2) 多 方 共 建 或 通过 互惠 协议 获取 ; (2) 场地 和 环境 (如 面积 、 温 度 、 湿 度 、 
(3) 租用 商业 化 灾难 备份 中 心 的 基础 | 防火 .电力 和 工作 时 间 等 ); 
设施 (3) 运行 维护 和 管理 要 求 
(1) 灾难 备份 中 心 设置 专职 技术 支持 

专业 技术 支持 能 力 人 员 ， (1) 技术 支持 的 组 织 架 构 ; 


(2) 与 厂商 签订 技术 支持 或 服务 合同 ; | (2) 各 类 技术 支持 人 员 的 数量 和 素质 


(3) 由 主 中 心 技术 支持 人 员 兼 任 


(1) 自行 运行 和 维护 ; 

2 (2) 人 员 的 数量 和 素质 ; 
(2) 委托 其 他 机 构 运 行 和 维护 (3) 运行 维护 管理 制度 
(1) 由 组 织 独立 完成 ; (1) 整体 要 求 ; 
(2) 聘请 具有 相应 资质 的 外 部 专家 指导 | (2) 制定 过 程 的 要 求 ; 
完成 ; (3) 教育 .培训 和 演练 要 求 ; 
(3) 委托 具有 相应 资质 的 外 部 机 构 完 成 | (4) 管理 要 求 


(1) 运行 维护 管理 组 织 架 构 ; 


3. 灾难 恢复 等 级 划分 和 衡量 指标 

1) 灾难 恢复 等 级 的 确定 原则 

实际 上 各 单位 的 情况 和 信息 系统 的 应 用 模式 都 有 很 大 的 不 同 ,灾难 恢复 等 级 定义 的 6 
个 等 级 对 各 个 要 素 的 要 求 也 不 是 必须 一 一 对 应 的 关系 ,而 且 同 一 个 灾难 备份 中 心 也 可 以 同 
时 支持 不 同等 级 的 灾难 恢复 需求 ,所 以 灾难 恢复 等 级 的 确定 有 两 个 基本 原则 。 

(1) 要 达到 某 个 灾难 恢复 等 级 ,应 同时 满足 该 等 级 中 7 个 要 素 的 要 求 。 

(2) 灾难 备份 中 心 的 等 级 等 于 其 可 以 支持 的 灾难 恢复 最 高 等 级 。 

简单 地 说 ,第 一 原则 就 是 就 低 不 就 高 ,也 就 是 说 灾难 恢复 等 级 的 评定 是 以 所 有 7 个 要 素 
中 满足 要 求 最 低 的 要 素 对 应 的 等 级 为 准 的 。 第 二 个 原则 是 就 高 不 就 低 , 对 于 可 以 同时 满足 
几 个 灾难 恢复 等 级 的 灾难 备份 中 心 ,按照 能 够 满足 的 最 高 等 级 评定 灾难 备份 中 心 的 等 级 。 

2) 灾难 恢复 等 级 的 划分 的 国家 标准 和 各 级 指标 要 求 

为 了 确保 灾难 恢复 的 成 功率 ,并 且 能 有 效 降低 建设 成 本 ,使 得 灾难 恢复 实现 的 技术 手段 
有 据 可 查 , 有 必要 制定 一 个 标准 ,并 根据 用 户 实际 信息 保护 的 不 同 需 求 ,制定 不 同 的 信息 系 
统 灾难 保护 等 级 。 

信息 系统 灾难 恢复 等 级 的 划分 是 根据 灾难 恢复 资源 的 7 个 关键 要 素 所 达到 的 程度 来 划 
分 的 ,其 所 能 达到 的 程度 决定 了 灾难 恢复 所 能 达到 的 等 级 和 灾难 备份 中 心 的 等 级 。 在 《信息 
安全 技术 信息 系统 灾难 恢复 规范 (GB/T 20988 一 2007)》 中 将 信息 系统 的 灾难 恢复 等 级 划分 
为 6 个 等 级 ,如 图 8-8 所 示 。 
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。 电子 传输 及 完整 设备 文 持 级 


。 实时 数据 传输 及 完整 设备 支持 级 


® 数据 零 丢失 和 远程 集群 支持 级 


8-8 ”灾难 恢复 能 力 的 六 个 等 级 


(1) 第 1 级 一 一 基础 支持 级 。 
在 《信息 安全 技术 信息 系统 灾难 恢复 规范 (GB/T 20988 一 2007)》 中 对 第 1 级 的 指标 要 
求 如 表 8-7 所 示 。 
表 8-7 第 1 级 一 一 基本 支持 级 的 指标 要 求 
要 素 指标 要 求 
(1) 完全 数据 备份 至 少 每 周一 次 ; 


下 (2) 备份 介质 场 外 存放 

备用 数据 处 理 系 统 

备用 网 络 系统 = 

备用 基础 设施 有 符合 介质 存放 条 件 的 场地 

专业 技术 文 持 能 力 

运行 维护 管理 能 力 (1) 有 介质 存 取 、 验 证 和 转 储 管理 制度 ; 


(2) 按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 
灾难 恢复 预案 有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 


注 : “一 ”表示 不 做 要 求 。 


(2) 第 2 级 一 一 备用 场地 支持 级 。 
在 《信息 安全 技术 信息 系统 灾难 恢复 规范 (GB/T 20988 一 2007)》 中 对 第 2 级 的 指标 要 
求 如 表 8-8 所 示 。 


表 8-8 第 2 级 一 一 备用 场地 支持 级 的 指标 要 求 


要 素 指标 要 求 
(1) 完全 数据 备份 至 少 每 周一 次 ; 
(2) 备份 介质 场 外 存放 
配备 灾难 恢复 所 需 的 部 分 数据 处 理 设备 ,或 灾难 发 生 后 能 在 预定 时 
间 内 调配 所 需 的 数据 处 理 设备 到 备用 场地 


数据 备份 系统 


备用 数据 处 理 系 统 
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续 表 
要 素 指标 要 求 
本 配备 部 分 通信 线路 和 相应 的 网 络 设备 ,或 灾难 发 生 后 能 在 预定 时 间 
a 内 调配 所 需 的 通信 线路 和 网 络 设备 到 备用 场地 
(1) 有 符合 介质 存放 条 件 的 场地 ; 
备用 基础 设施 (2) 有 满足 信息 系统 和 关键 业务 功能 恢复 运作 要 求 的 场地 
专业 技术 支持 能 力 
(1) 有 介质 存 取 、 验 证 和 转 储 管理 制度 ; 
(2) 按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 ; 
运行 维护 管理 能 力 (3) 有 备用 站 点 管理 制度 ; 
(4) 与 相关 厂商 有 符合 灾难 恢复 时 间 要 求 的 紧急 供 货 协议 ， 
(5) 与 相关 运营 商 有 符合 灾难 恢复 时 间 要 求 的 备用 通信 线路 协议 
灾难 恢复 预案 有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 


注 :“ 一 ”表示 不 做 要 求 。 


(3) 第 3 级 一 一 电子 传输 和 部 分 设备 支持 级 。 
在 《信息 安全 技术 信息 系统 灾难 恢复 规范 (GB/T 20988 一 2007)》 中 对 第 3 级 的 指标 要 
求 如 表 8-9 所 示 。 


表 8-9 第 3 级 一 一 电子 传输 和 部 分 设备 支持 级 的 指标 要 求 


要 素 指标 要 求 
(1) 完全 数据 备份 至 少 每 天 一 次 ; 
数据 备份 系统 (2) 备份 介质 场 外 存放 
(3) 每 天 多 次 利用 通信 网 络 将 关键 数据 定时 批量 传送 至 备用 场地 
备用 数据 处 理 系统 配备 灾难 恢复 所 需 的 部 分 数据 处 理 设备 
备用 网 络 系统 配备 部 分 通信 线路 和 相应 的 网 络 设备 
(1) 有 符合 介质 存放 条 件 的 场地 ; 
Ee (2) 有 满足 信息 系统 和 关键 业务 功能 恢复 运作 要 求 的 场地 
专业 技术 支持 能 力 在 灾难 备份 中 心 有 专 职 的 计算 机 机 房 运 行 管理 人 员 
(1) 按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 
(2) 有 介质 存 取 、 验 证 和 转 储 管理 制度 ; 
运行 维护 管理 能 力 (3) 有 备用 计算 机 机 房管 理 制 度 ; 
(4) 有 备用 数据 处 理 设备 硬件 维护 管理 制度 ; 
(5) 有 电子 传输 数据 备份 系统 运行 管理 制度 
灾难 恢复 预案 有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 


(4) 第 4 级 一 一 电子 传输 及 完整 设备 支持 级 。 
在 《信息 安全 技术 信息 系统 灾难 恢复 规范 (GB/T 20988 一 2007)》 中 对 第 4 级 的 指标 要 
求 如 表 8-10 所 示 。 
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表 8-10 第 4 级 一 一 电子 传输 及 完整 设备 支持 级 的 指标 要 求 


要 素 指标 要 求 


(1) 完全 数据 备份 至 少 每 天 一 次 ; 
数据 备份 系统 (2) 备份 介质 场 外 存放 ; 
(3) 每 天 多 次 利用 通信 网 络 将 关键 数据 定时 批量 传送 至 备用 场地 
配备 灾难 恢复 所 需 的 全 部 数据 处 理 设 备 ,并 处 于 就 绪 状态 或 运行 
状态 
(1) 配备 灾难 恢复 所 需 的 通信 线路 ; 
(2) 配备 灾难 恢复 所 需 的 网 络 设 备 ,并 处 于 就 绪 状 态 
(1) 有 符合 介质 存放 条 件 的 场地 ; 
(2) 有 符合 备用 数据 处 理 系 统 和 备用 网 络 设 备 运行 要 求 的 场地 ; 
(3) 有 满足 关键 业务 功能 恢复 运作 要 求 的 场地 ; 
(4) 以 上 场地 应 保持 7X24 小 时 运作 
在 灾难 备份 中 心 有 : 
(1) 7X24 小 时 专职 计算 机 机 房管 理 人 员 ; 
(2) 专职 数据 备份 技术 支持 人 员 ; 
(3) 专职 硬件 、 网 络 技术 支持 人 员 


(1) 有 介质 存 取 、 验 证 和 转 储 管理 制度 ; 

(2) 按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 ; 
了 维护 管理 能 力 (3) 有 备用 计算 机 机 房 运 行 管理 制度 ; 

(4) 有 硬件 和 网 络 运行 管理 制度 ; 

(5) 有 电子 传输 数据 备份 系统 运行 管理 制度 
灾难 恢复 预案 有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 


备用 数据 处 理 系 统 


备用 网 络 系统 


备用 基础 设施 


专业 技术 支持 能 力 


全 


~ 


EY 


(5) 第 5 级 一 一 实时 数据 传输 及 完整 设备 文 持 级 。 
在 《信息 安全 技术 信息 系统 灾难 恢复 规范 (GB/T 20988 一 2007)》 中 对 第 5 级 的 指标 要 
求 如 表 8-11 所 示 。 


表 8-11 第 5 级 一 一 实时 数据 传输 及 完整 设备 支持 级 的 指标 要 求 


要 素 指标 要 求 


(1) 完全 数据 备份 至 少 每 天 一 次 ; 
(2) 备份 介质 场 外 存放 ; 


人 (3) 采用 远程 数据 复制 技术 ,并 利用 通信 和 网络 将 关键 数据 实时 复制 
到 备用 场地 

备用 数据 处 理 系统 配备 灾难 恢复 所 需 的 全 部 数据 处 理 设备 ,并 处 于 就 结 或 运行 状态 
01) 配备 灾难 恢复 所 需 的 通信 线路 ， 

备用 网 络 系统 (2) 配备 灾难 恢复 所 需 的 网 络 设备 ,并 处 于 就 绪 状 态 ; 
(3) 具备 通信 网 络 自动 或 集中 切换 能 力 
01) 有 符合 介质 存放 条 件 的 场地 | 

全 (2) 有 符合 备用 数据 处 理 系统 和 备用 网 络 设备 运行 要 求 的 场地 ; 


(3) 有 满足 关键 业务 功能 恢复 运作 要 求 的 场地 ; 
(4) 以 上 场地 应 保持 7X24 小 时 运作 


专业 技术 支持 能 力 


» 


~ 


了 维护 管理 能 力 


et 


灾难 恢复 预案 
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续 表 
指标 要 求 
在 灾难 备份 中 心 7X24 小 时 有 以 下 专职 人 员 : 
(1) 计算 机 机 房管 理 人 员 ，; 
(2) 数据 备份 技术 支持 人 员 ; 
(3) 硬件 、 网 络 技术 支持 人 员 
(1) 有 介质 存 取 、 验 证 和 转 储 管理 制度 ; 
(2) 按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 ; 
(3) 有 备用 计算 机 机 房 运行 管理 制度 ; 
(4) 有 硬件 和 网 络 运行 管理 制度 ; 
(5) 有 实时 数据 备份 系统 运行 管理 制度 
有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 


(6) 第 6 级 一 一 数据 零 丢 失 和 远程 集 群 支 持 级 。 
在 《信息 安全 技术 信息 系统 灾难 恢复 规范 (GB/T 20988 一 2007)》 中 对 第 6 级 的 指标 要 
求 如 表 8-12 所 示 。 


表 8-12 


要 素 


数据 备份 系统 


备用 数据 处 理 系 统 


备用 网 络 系统 


备用 基础 设施 


专业 技术 支持 能 力 


灾难 恢复 预案 


第 6 级 一 一 数据 零 丢 失 和 远程 集群 支持 级 的 指标 要 求 


指标 要 求 


(1) 完全 数据 备份 至 少 每 天 一 次 ; 
(2) 备份 介质 场 外 存放 ; 
(3) 远程 实时 备份 ,实现 数据 零 丢 失 


(1) 备用 数据 处 理 系统 具备 与 生产 数据 处 理 系统 一 致 的 处 理 能 力 并 
完全 兼容 ; 

(2) 应 用 软件 是 “集群 的 ”, 可 实时 无 缝 切换 ; 

(3) 具备 远程 集群 系统 的 实时 监 挖 和 自动 切换 能 力 


(1) 配备 与 主 系统 相同 等 级 的 通信 线路 和 网 络 设备 ; 
(2) 备用 网 络 处 于 运行 状态 ; 
(3) 最 终 用 户 可 通过 网 络 同时 接 人 主 中 心 、 备 份 中 心 


(1) 有 符合 介质 存放 条 件 的 场地 ; 

(2) 有 符合 备用 数据 处 理 系统 和 备用 网 络 设备 运 行 要 求 的 场地 ; 
(3) 有 满足 关键 业务 功能 恢复 运作 要 求 的 场地 ; 

(4) 以 上 场地 应 保持 7X24 小 时 运作 


在 灾难 备份 中 心 7X24 小 时 有 以 下 专职 人 员 : 

(1) 计算 机 机 房管 理 人 员 

(2) 专职 数据 备份 技术 支持 人 员 

(3) 专职 硬件 、 网 络 技术 支持 人 员 

(4) 专职 操作 系统 数据库 和 应 用 软件 技术 支持 人 员 


(1) 有 介质 存 取 、 验 证 和 转 储 管理 制度 ; 

(2) 按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 ; 
(3) 有 备用 计算 机 机 房 运 行 管理 制度 ; 

(4) 有 硬件 和 网 络 运行 管理 制度 ; 

(5) 有 实时 数据 备份 系统 运行 管理 制度 ; 

(6) 有 操作 系统 ,数据库 和 应 用 软件 运行 管理 制度 


有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 
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3) 灾难 恢复 策略 制定 的 方法 

针对 灾难 恢复 的 需求 开发 灾难 恢复 的 策略 。 灾 难 恢 复 需 求 分 析 中 已 经 对 恢复 的 范围 、 
需要 防范 风险 的 范围 和 等 级 .恢复 的 时 间 目 标 要求 、 恢 复 的 数据 完整 性 要 求 、 恢 复 的 处 理 能 
力 要 求 .恢复 优先 级 等 做 出 了 说 明 。 灾 难 恢复 策略 必须 回答 采用 什么 样 的 方式 来 满足 恢复 
需求 目标 ,明确 在 上 文中 提 到 的 7 个 要 素 ( 数 据 备份 系统 、 备 用 基础 设施 .备份 数据 处 理 系 
统 、 备 用 网 络 系统 .技术 支持 能 力 、 运 行 维护 管理 .灾难 恢复 预案 ) 如 何 获取 ,达到 什么 样 的 程 

灾难 恢复 的 最 终 目 标 不 仅仅 是 恢复 信息 系统 ,最 关键 的 目的 是 保障 业务 运作 的 连续 。 
信息 系统 是 业务 运作 的 服务 保证 和 支持 系统 ,在 考虑 灾难 恢复 策略 时 应 当 全 面 考虑 单位 的 
业务 特点 和 行业 .法律 要 求 , 保 证 制定 的 灾难 恢复 策略 能 够 经 得 起 时 间 和 意外 事件 的 考验 。 
在 考虑 业务 特点 的 时 候 通 常 考虑 以 下 情况 : 服务 用 户 数量 .服务 用 户 分 布 、 提 供 服务 的 类 型 
和 周期 .用户 取 得 服务 的 方式 和 频 度 .服务 的 关键 度 . 服 务 承担 的 法 律 义务 等 。 


8.4.3 灾难 恢复 策略 的 实现 及 管理 

1. 灾难 备份 系统 技术 方案 的 实现 

1) 技术 方案 的 设计 

根据 灾难 恢复 策略 制定 相应 的 灾难 备份 系统 技术 方案 ,包含 数据 备份 系统 、 备 用 数据 处 
理 系 统 和 备用 的 网 络 系统 。 技 术 方 案 中 所 设计 的 系统 应 该 获得 同 主 系统 相当 的 安全 保护 ; 
具有 可 扩展 性 ; 并 考虑 其 对 主 系 统 可 用 性 和 性 能 的 影响 。 

2) 技术 方案 的 验证 、 确 认 和 系统 开发 

为 确保 技术 方案 满足 灾难 恢复 策略 的 要 求 ,应 由 组 织 的 相关 部 门 对 技术 方案 进行 确认 
和 验证 ,并 记录 和 保存 验证 及 确认 的 结果 。 按 照 确认 的 灾难 备份 系统 技术 方案 进行 开发 , 实 
现 所 要 求 的 数据 备份 系统 、 备 用 数据 处 理 系统 和 备用 网 络 系统 。 

3) 系统 安装 和 测试 

按照 经 过 确认 的 技术 方案 ,灾难 恢复 规划 实施 组 应 制订 各 阶段 的 系统 安装 及 测试 计划 ， 
以 及 支持 不 同 关键 业务 功能 的 系统 安装 及 测试 计划 ,并 组 织 最 终 用 户 共同 进行 测试 。 

确认 以 下 各 项 功能 可 正确 实现 。 

(1) 数据 备份 及 数据 恢复 功能 。 

(2) 在 限定 的 时 间 内 ,利用 备份 数据 正确 恢复 系统 .应 用 软件 及 各 类 数据 ,并 可 正确 恢 
复 各 项 关键 业务 功能 。 

(3) 客户 端 可 与 备用 数据 处 理 系 统 通信 正 篆 。 

2. 灾难 备份 中 心 的 选择 和 建设 

1) 灾 备 中 心 选 址 原则 

选择 或 建设 灾难 备份 中 心 时 ,应 根据 风险 分 析 的 结果 ,避免 灾难 备份 中 心 与 主 中 心 同时 
遭受 同类 风险 。 灾 难 备份 中 心包 括 同 城 和 异地 两 种 类 型 ,以 规避 不 同 影响 范围 的 灾难 风险 。 

灾难 备份 中 心 应 具有 数据 备份 和 灾难 恢复 所 需 的 通信 、 电 力 等 资源 ,以 及 方便 灾难 恢复 
人 员 和 设备 到 达 的 交通 条 件 。 灾 难 备份 中 心 应 根据 统筹 规划 .资源 共享 . 平 战 结 合 的 原则 ， 
合理 地 布局 。 


第 8 章 信息 安全 事件 应 急 处 理 与 灾难 恢复 171 


2) 灾难 备份 中 心 的 基础 设施 的 建设 

灾难 备份 中 心 基础 设施 是 灾难 恢复 所 需 的 、 支 持 灾难 备份 系统 运行 的 建筑 设备 ,包括 
介质 的 场 外 存放 场所 、 备 用 的 机 房 及 工作 辅助 设施 ,以 及 容许 灾难 恢复 人 员 连 续 停 留 的 生活 
设施 。 根 据 灾 难 备份 中 心 基础 设施 的 工作 性 质 可 以 将 其 分 为 3 类 . 第 一 类 是 工作 设施 ; 第 
二 类 是 辅助 设施 ; 第 三 类 是 生活 设施 。 在 新 建 或 选用 灾难 备份 中 心 的 基础 设施 时 计算 机 机 
房 应 符合 有 关 国 家 标准 的 要 求 , 其 中 工作 辅助 设施 和 生活 设施 应 符合 灾难 恢复 目标 的 要 求 。 

3) 灾难 备份 中 心 的 技术 文 持 能 力 和 管理 能 力 

组 织 应 根据 灾难 恢复 策略 的 要 求 ,获取 对 灾难 备份 系统 的 专业 技术 支持 能 力 。 同 时 , 灾 
难 备份 中 心 应 建立 相应 的 技术 支持 组 织 , 定 期 对 技术 支持 人 员 进 行 技 能 培训 。 

为 了 达到 灾难 恢复 目标 ,灾难 备份 中 心 应 建立 各 种 操作 规程 和 管理 制度 ,用 以 保证 数据 
备份 的 及 时 性 和 有 效 性 ; 备用 数据 人 处理 系统 和 备用 网 络 系统 处 于 正常 状态 ,并 与 主 系 统 的 
参数 保持 一 致 ; 有 效 的 应 急 啊 应 、 处 理 能 力 。 

3. 灾难 恢复 预案 的 实现 

1) 灾难 恢复 预案 的 制定 

灾难 恢复 预案 是 定义 信息 系统 灾难 恢复 过 程 中 所 需 的 任务 行动、 数据 和 资源 的 文件 ， 
用 于 指导 相关 人 员 在 预定 的 灾难 恢复 目标 内 恢复 信息 系统 支持 的 关键 业务 功能 。 

在 《信息 安全 技术 信息 系统 灾难 恢复 规范 (GB/T 20988 一 2007)》 中 规定 灾难 恢复 预案 
的 制定 应 遵循 以 下 原则 。 

(1) 完整 性 。 灾 难 恢复 预案 (以 下 简称 预案 ) 应 包含 灾难 恢复 的 整个 过 程 , 以 及 灾难 恢 
复 所 需 的 尽 可 能 全 面 的 数据 和 资料 。 

(2) 易 用 性 。 预 案 应 运用 易于 理解 的 语言 和 图 表 , 并 适合 在 紧急 情况 下 使 用 。 

(3) 明确 性 。 预 案 应 采用 清晰 的 结构 ,对 资源 进行 清楚 的 描述 ,工作 内 容 和 步骤 应 具 
体 ,每 项 工作 应 有 明确 的 责任 人 。 

(4) 有 效 性 。 预 案 应 尽 可 能 满足 灾难 发 生 时 进行 恢复 的 实际 需要 ,并 保持 与 实际 系统 
和 人 员 组 织 的 同步 更 新 。 

(5) 兼容 性 。 灾 难 恢复 预案 应 与 其 他 应 急 预 案 体 系 有 机 结合 。 

在 灾难 恢复 预案 制定 原则 的 指导 下 ,灾难 恢复 预案 的 制定 流程 如 表 8-13 所 示 。 


表 8-13 ”灾难 恢复 预案 的 制定 流程 


主要 工作 及 要 求 形 成 材 料 


参照 灾难 恢复 预案 框架 ,按照 风险 分 析 和 业务 影响 分 析 所 确定 的 灾 
难 恢复 内 容 , 根 据 灾 难 恢复 能 力 等 级 的 要 求 ,结合 组 织 其 他 相关 的 


灾难 恢复 预案 
应 急 预 案 ,撰写 出 灾难 恢复 预案 的 初稿 0 


. 预案 初稿 的 | 组 织 应 对 灾难 恢复 预案 初稿 的 完整 性 、 易 用 性 、 明 确 性 有效 性 和 兼 | 灾难 恢复 预案 
评审 容 性 在 一 定 的 流程 下 进行 严格 的 评审 初稿 评审 意见 


预案 初稿 的 | 根据 评审 意见 ,对 预案 进行 修订 ,纠正 在 初稿 评审 过 程 中 发 现 的 问 | 灾难 恢复 预案 


三 
[| ; 
| 
对 
= 向 
爱 测 


题 和 缺陷 ,形成 预案 的 修订 稿 修订 稿 
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过 程 步 又 主要 工作 及 要 求 形 成 材 料 


应 预先 制订 测试 计划 ,在 计划 中 说 明 测试 的 案例 。 测 试 应 包含 基本 | A 次 复 也 
4 | 预案 测试 。 | 单元 测试 .关联 测试 和 整体 测试 。 测 试 的 整个 过 程 应 有 详细 的 记 | 测试 报告 


录 , 并 应 撰写 测试 报告 
预案 初稿 的 | 根据 测试 结果 结合 预案 初稿 评审 意见 ,纠正 在 初稿 评审 过 程 和 测试 | 灾难 恢复 预案 
完善 中 发 现 的 问题 和 缺陷 ,撰写 预案 审批 稿 审批 稿 
i 预案 的 审核 | 由 灾难 恢复 领导 小 组 对 审批 稿 进行 审核 和 批准 ,确定 为 预案 的 执 | 灾难 恢复 预案 
和 批准 行 稿 的 执行 稿 


注 : 灾难 恢复 预案 框架 可 参考 (信息 系统 灾难 恢复 规范 (GB/T 20988 一 2007)》。 


2) 灾难 恢复 预案 的 教育 .培训 和 演练 

为 了 使 相关 人 员 了 解 信 息 系 统 灾 难 恢复 的 目标 和 流程 ,熟悉 灾难 恢复 的 操作 规程 ,组 织 
应 按 以 下 要 求 , 组 织 灾 难 恢 复 预 案 的 教育 .培训 和 演练 。 

(1) 在 灾难 恢复 规划 的 初期 就 应 开始 灾难 恢复 观念 的 宣传 教育 工作 。 

(2) 预先 对 培训 需求 进行 评估 ,包括 培训 的 频次 和 范围 ,开发 和 落实 相应 的 培训 或 教育 
课程 ,保证 课程 内 容 与 预案 的 要 求 相 一 致 ,事后 保留 培训 的 记录 。 

(3) 预先 制订 演练 计划 ,在 计划 中 说 明 演 练 的 场景 。 

(4) 演练 的 整个 过 程 应 有 详细 的 记录 ,并 形成 报告 。 

(5) 每 年 应 至 少 完 成 一 次 有 最 终 用 户 参 与 的 完整 演练 。 

3) 灾难 恢复 预案 的 管理 

灾难 恢复 预案 的 管理 包括 对 灾难 恢复 预案 的 保存 与 分 发 .更 新 管理 .问题 控制 。 经 过 审 
核 和 批准 的 灾难 恢复 预案 ,应 做 好 保存 和 分 发 工作 ,包括 安排 专人 负责 保存 和 分 发 ; 可 以 以 
多 种 形式 的 介质 备份 保存 在 不 同 的 安全 地 点 ; 保证 在 生产 中 心 以 外 的 安全 地 点 存放 灾难 安 
全 预案 或 者 分 发 给 参与 灾难 恢复 工作 的 所 有 人 员 ; 加 强 灾难 恢复 预案 的 版 本 的 管理 ,每 次 
修订 后 的 所 有 副本 统一 更 新 ,并 保留 一 套 , 以 备查 阅 , 同 时 将 已 分 发 的 旧版 本 按 有 关 规 定 
销毁 。 

为 了 保证 灾难 恢复 预案 的 有 效 性 ,应 对 灾难 恢复 预案 进行 严格 的 维护 和 变更 管理 ,包括 
业务 流程 的 变化 ,信息 系统 的 变更 、 人 员 的 变更 都 及 时 反映 在 灾难 恢复 预案 中 ; 预案 在 测 
试 、 演 练 和 灾难 发 生 后 实际 执行 时 ,其 过 程 均 应 有 详细 的 记录 ,对 整个 过 程 的 效果 进行 评估 ， 
随后 根据 评估 结果 对 预案 进行 相应 的 修订 ; 每 年 应 对 灾难 恢复 预案 进行 至 少 一 次 评审 和 
修订 。 


8.5 小 结 


本 草 介 绍 了 信息 安全 事件 的 应 急 处 理 流程 及 灾难 恢复 工作 过 程 。 因 为 国民 经 济 和 国家 
安全 等 众多 领域 的 关键 应 用 日 益 依赖 于 信息 技术 , 面 对 入 侵 和 攻击 事件 如 此 频 壹 的 网 络 环 
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境 ,如 何 保证 信息 系统 在 受 攻击 情况 下 或 者 出 现 系统 异常 时 仍然 能 够 正常 工作 ,有 效 实现 信 
乱 系 统 的 应 急 啊 应 与 灾难 恢复 ,已 成 为 信息 安全 领域 吸 竺 解决 的 课题 。 


站 是 


信息 安全 事件 一 般 有 哪 几 类 ? 为 每 一 类 信息 安全 事件 各 举 一 个 例子 。 

信息 安全 事件 分 级 的 要 素 有 哪 几 个 方面 ? 衡量 的 标准 是 什么 ? 

简 述 信息 安全 事件 和 应 急 啊 应 计划 之 间 有 什么 关系 和 联系 。 

信息 安全 事件 发 生 后 应 急 啊 应 要 经 过 哪些 过 程 ? 每 个 过 程 中 需要 完成 的 工作 有 


. 列举 1 一 2 个 信息 安全 事件 引发 的 灾难 ,以 及 造成 的 损失 。 

. 简 述 我 国 灾难 恢复 的 发 展 过 程 , 以 及 在 灾难 恢复 方面 的 主要 工作 。 
. 灾难 恢复 规划 主要 包含 哪些 阶段 ? 各 阶段 需要 开展 哪些 工作 ? 

. 简 述 灾难 恢复 等 级 的 划分 及 主要 衡量 指标 。 

10. 灾难 恢复 策略 的 实现 要 进行 哪些 重要 的 工作 ? 如 何 实施 ? 


i 
2. 
% 
4. 
? 
5. 信息 安全 事件 处 置 主要 有 哪些 阶段 ? 各 阶段 又 有 哪些 重要 的 控制 点 ? 
6 
7 
8 
9 
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本 章 学 习 目 标 : 
。 了 解 信息 安全 相关 标准 。 
。 了 解 信息 安全 相关 法 律 法 规 。 


二 
llly 
部 
说 


9.1.1 信息 安全 标准 化 的 概述 

1. 标准 

国际 标准 化 组 织 于 1983 年 7 月 发 布 的 ISO 第 二 号 指南 (第 四 版 ) 将 标准 定义 为 由 有 关 
各 方 根据 科学 技术 成 就 与 先进 经 验 共 同 合 作 起 草 ,一 致 同 意 或 基本 上 同意 的 技术 规范 或 其 
他 公开 文件 ,其 目的 在 于 促进 最 佳 的 公共 利益 ,并 由 标准 化 团体 批准 。 

我 国 国家 标准 《标准 化 基本 术语 (GB 3935. 1 一 1983) 》 将 标准 定义 为 对 重复 性 事物 和 概 
念 所 做 的 统一 规定 。 它 以 科学 .技术 和 实践 经 验 的 综合 成 果 为 基础 ,经 有 关 方 面 协调 一 致 , 
由 主管 机 构 批 准 , 以 特定 形式 发 布 , 作 为 共同 遵守 的 准则 和 依据 。 

2. 标准 化 

国家 标准 《标准 化 工作 指南 。 第 1 部 分 : 标准 化 和 相关 活动 的 通用 词汇 (GB/T 20000. 1 
2002)》 对 标准 化 的 定义 是 为 了 在 一 定 范 围 内 获得 最 佳 秩 序 , 对 现实 问题 或 潜在 问题 制定 共 
同 使 用 和 重复 使 用 的 条 款 的 活动 。 

3. 国际 标准 化 组 织 和 标准 

国际 标准 化 组 织 (ISO) 是 一 个 全 球 性 的 非 政 府 组 织 , 是 国际 标准 化 领域 中 一 个 十 分 重 
要 的 组 织 , 负 责 目 前 绝 大 部 分 领域 (包括 军工 石油 .船舱 等 垄断 行业 ) 的 标准 化 活动 。 

国际 标准 是 由 国际 标准 化 组 织 通 过 并 公开 发 布 的 标准 。 

4. 国家 标准 机 构 和 国家 标准 

国家 标准 机 构 是 在 国家 层面 上 承认 的 、 有 资格 成 为 相应 的 国际 和 区 域 标准 组 织 的 国家 
成 员 的 标准 机 构 , 如 中 国 国 家 标准 化 管理 委员 会 。 

国家 标准 是 国家 标准 机 构 通 过 并 公开 发 布 的 标准 。 我 国有 GB 字样 的 是 强制 性 国家 标 
准 , 有 GB/T 字样 是 推荐 性 国家 标准 ,有 GB/Z 字样 的 是 国家 标准 化 指导 性 技术 文件 。 

5. 信息 安全 标准 体系 的 建设 

信息 安全 标准 化 是 国家 网 络 安全 保障 体系 建设 的 重要 组 成 部 分 ,在 保障 网 络 空间 安全 、 
推动 网 络 治理 体系 变革 方面 发 挥 着 基础 性 .规范 性 .引领 性 作用 。 信 息 安 全 标准 体系 是 由 信 
息 安 全 领域 内 具有 内 在 联系 的 标准 组 成 的 科学 有 机 整体 ,是 信息 安全 保障 体系 中 十 分 重要 
的 技术 体系 ,是 整个 信息 安全 标准 化 工作 的 指南 。 只 有 建立 了 科学 的 信息 安全 标准 体系 ,将 
众多 的 信息 安全 标准 协调 一 致 ,才能 系统 化 地 指导 行业 、 机 构 团 体 、 产 品 、 服 务 或 工程 项 目 


第 9 章 信息 安全 标准 与 法 律 法 规 175 


等 ,充分 发 挥 信息 安全 标准 的 系统 功能 ,获得 恨 好 的 系统 效应 ,取得 预期 的 社会 效益 和 经 济 
效益 ,从 而 达到 整体 的 最 佳 效益 。 

信息 安全 标准 体系 框架 用 以 表达 标准 体系 的 构思 设想、 整体 规划 ,其 主要 作用 是 为 编 
制 信息 安全 标准 制 、 修 订 计 划 提 供 重 要 依据 , 促进 信息 安全 领域 内 的 标准 组 成 趋向 科学 , 合 
理化 ,为 信息 安全 保障 体系 建设 提供 支撑 。 


9.1.2 信息 安全 的 国际 标准 


当前 ,世界 上 有 300 多 个 国际 和 区 域 性 组 织 制定 标准 或 技术 规则 ,其 中 与 信息 安全 标准 
化 相关 的 国际 组 织 也 有 很 多 ,并 有 昌都 有 健全 的 信息 安全 标准 体系 ,国际 上 影响 力 较 大 的 三 大 
信息 安全 标准 化 组 织 如 下 。 

(1) 国际 标准 化 组 织 (ISO) 和 国际 电工 委员 会 (IEC) 。 

(2) 国际 电信 联盟 电信 标准 分 局 (ITU-T) 。 

(3) 美国 国家 标准 和 技术 研究 院 C(NIST) 。 

1. 国际 标准 ISO 和 IEC 

ISO 和 IEC 是 世界 范围 的 标准 化 组 织 , 由 各 个 国家 和 地 区 成 员 组 成 ,各 国 的 相关 标准 
化 组 织 都 是 其 成 员 ,通过 各 技术 委员 会 参与 相关 标准 的 制定 。 

为 了 更 好 地 协同 规范 信息 技术 和 信息 安全 领域 ,ISO 和 IEC 联合 成 立 了 一 个 信息 技术 
联合 技术 委员 会 JTC1( 信 息 技 术 标 准 化 委员 会 ) ,负责 信息 技术 邻 域 的 标准 化 工作 。1990 
年 4 月 又 成 立 了 JTCl 下 属 的 安全 技术 分 委员 会 SC27 , 它 是 信息 安全 邻 域 最 权威 和 国际 认 
可 的 标准 化 组 织 ,负责 开展 信息 安全 标准 的 研制 工作 。SC27 IT 安全 技术 分 委员 有 5 个 工 
作 组 ,分 别 是 WG1: 要 求 、 安 全 服务 和 指南 ; WG2: 安全 技术 和 机 制 ; WG3: 安全 评估 准 
则 ; WG4: 安全 控制 和 服务 ; WG5: 身份 管理 和 隐私 技术 。 目 前 ,安全 技术 分 委员 会 SC27 
已 颁布 了 151 项 国际 标准 ,正在 研究 和 制定 的 国际 标准 有 74 项 ,这 些 标准 主要 涉及 密码 算 
法 、 散 列 图 数 .数字 签名 、 实 体 鉴别 .安全 评估 安全 管理 等 领域 ,为 信息 安全 领域 的 标准 化 工 
作 做 出 了 巨大 的 贡献 。 

近 几 年 由 ISOVIEC 颁布 的 比较 有 影响 力 的 标准 有 ISO/VIEC 13335 (IT 安全 管理 指 
南 ) .ISO/IEC 15408 (安全 性 评估 准则 )、ISO/IEC 15443 (IT 安全 保障 框架 )、ISO/IEC 
218279( 系 统 安 全 工程 能 力 成 熟 模型 ) 和 ISO/IEC 27000 系列 (信息 安全 管理 系统 ,已 完成 7 
个 部 分 ,计划 包含 20 多 个 子 标准 )。 

IEC 除了 和 ISO 联合 成 立 了 JTC1 外 ,还 在 电信 、 电 子 系统 \ 信 息 技 术 和 电磁 兼容 等 方 
面 成 立 技术 委员 会 负责 安全 标准 研制 ,如 TC56(n-I 靠 性 )、TC74(IT 设备 安全 和 功效 )、 
TC77( 电 磁 兼 容 )、TC 108( 音 频 / 视 频 ) .信息 技术 和 通信 技术 电子 设备 的 安全 等 ,并 制定 相 
关 国 际 标准 ,如 信息 技术 设备 安全 (IEC 60950) 等 。 

2. 国际 电信 联盟 电信 标准 ITU-T 

ITU- 工 是 国际 电信 联盟 电信 标准 分 局 ,是 国际 电信 联盟 管理 下 的 专门 制定 电信 标准 的 
分 文 机 构 ,主要 负责 研究 通信 系统 安全 标准 ,在 网 络 与 信息 安全 方面 做 出 了 巨大 贡献 。 
ITU- 工 已 经 颁布 了 很 多 项 网 络 与 信息 安全 方面 的 标准 ,比较 有 影响 力 的 安全 标准 主要 有 消 
息 处 理 系统 C(MHS,X. 400 系列 )、 目 录 系 统 (X. 500 系列 ) 安全 框架 和 模型 (X. 800 系列 ) 
等 ,其 中 的 X. 509 标准 是 PKI 的 重要 基础 标准 ; X. 805 是 端 到 端 通信 安全 的 重要 标准 。 
ITU-T 在 安全 标准 化 方面 主要 关注 NGN( 下 一 代 网 络 ) 安 全 、IPTYV 安全、 身份 管理 (IDM)、 
数字 版 权 管理 (DRM) 生物 认证 \ 反 垃圾 信息 等 问题 。 
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ITU-T 下 属 的 SG17 组 成 立 于 2001 年 ,主要 负责 研究 通信 系统 信息 安全 标准 ,SG17 下 
设 了 7 个 课题 组 ,专门 从 事 安 全 标准 研究 ,包括 Q4, 通 信 系 统 安 全 项 目 组 ; Q5 ,安全 体系 结 
构 和 框架 组 ; Q6 ,网 络 安全 组 ; Q7 ,安全 管理 组 ; Q8, 生 物 测 定 组 ; Q9 ,安全 通信 服务 组 ; 
Q17, 反 垃圾 邮件 组 。 其 特点 是 每 3 年 作为 一 个 研究 周期 ,每 个 研究 周期 会 调整 工作 领域 和 
工作 组 的 设置 ,在 2009 一 2012 年 研究 周期 ,ITU-T SG17 组 共 设 置 了 3 个 工作 领域 (WP)， 
分 别 是 网 络 与 信息 安全 、 应 用 安全 、 身 份 管理 和 语言 。3 个 工作 领域 下 设 了 15 个 工作 组 , 研 
究 范围 基本 涵盖 了 电信 和 信息 技术 领域 的 安全 需求 。 在 2013 一 2016 年 研究 周期 ,ITU-T 
SG17 组 将 工作 领域 拆 分 成 了 5 个 ,并 根据 实际 标准 工作 需求 ,通过 新 增 裁撤 等 方式 最 终 形 
成 了 12 个 工作 组 。ITU-T SG17 组 当前 的 研究 重点 领域 包括 软件 定义 网 络 、 云 计算 、 物 联 
网 .生物 特征 识别 .个 人 信息 保护 等 。 

3. 美国 信息 安全 管理 标准 体系 

美国 国家 标准 技术 委员 会 (National Institute of Standards and Technology,NIST) 成 
立 于 1901 年 ,隶属 于 美国 商务 部 技术 司 ,主要 负责 为 美国 政府 和 商业 机 构 提 供 信 息 安 全 管 
理 相 关 的 标准 规范 。NIST 信息 技术 实验 室 下 设 的 计算 机 安全 研究 室 (Computer Security 
Division ,CSD) 和 应 用 网 络 空 间 安 全 研究 室 (Applied Cyber-security Division, ACD ) 是 
NIST 信息 安全 标准 的 主要 制定 部 门 。 

NIST 发 布 的 信息 安全 标准 和 文件 类 型 包括 联邦 信息 处 理 标准 系列 (FIPs)、 特 别 出 版 
物 系 列 (special Publication, SP)、 内 部 报告 系列 (IRs) 和 信息 技术 实验 室 安 全 快报 系列 
(GTLs) 等 。 联 邦 信息 处 理 标 准 大 部 分 为 强制 标准 ,要 求 大 多 数 的 联邦 政府 部 门 按照 标准 中 
的 规定 执行 。 截 至 2016 年 5 月 ,有 效 的 FIPS 共 9 项 ,涉及 密码 算法 、 联 邦 政府 信息 系统 保 
护 两 个 方面 。SP800 系列 是 NIST 在 信息 技术 安全 方面 的 特别 出 版 物 , 起 始 于 1990 年 。 
SP800 系列 均 属 于 技术 指南 文件 ,对 联邦 政府 部 门 不 具有 强制 性 ,只 是 提供 一 种 供 参 考 的 方 
法 或 经 验 , 涉 及 的 内 容 包 括 系 统 和 应 用 安全 、 安 全 基础 组 件 和 机 制 、 安 全 测试 与 评估 等 。 

NIST 近年 来 在 云 计 算 和 大 数据 技术 标准 化 研究 方面 贡献 突出 ,其 发 布 的 云 计 算 、 大 数 
据 参 考 架 构 、 公 有 云 中 的 安全 与 隐私 指南 等 标准 对 相关 国际 标准 化 工作 影响 深刻 。NIST 
同样 注重 标准 体系 梳理 工作 ,在 云 计算 和 大 数据 领域 分 别 发 布 了 标准 路 线 图 ,分 析 相 关 标 准 
现状 及 存在 问题 ,提出 当前 标准 缺口 ,并 根据 迫切 程度 提出 NIST 标准 研究 优先 级 的 建议 。 
9.1.3 信息 安全 国内 标准 

1. 我 国 的 信息 安全 标准 化 组 织 

我 国 于 1984 年 成 立 了 数据 加 密 技 术 分 委员 ,后 来 改 为 信息 技术 安全 分 技术 委员 会 ， 
2002 年 4 月 ,为 加 强 信 息 安 全 标准 的 协调 工作 ,国家 标准 委员 会 决定 成 立 全 国信 息 安 全 标 
准 化 技术 委员 会 (简称 信安 标 委 ,编号 TC260) , 它 是 国家 标准 化 管理 委员 会 的 直属 标 委 会 ， 
从 事 全 国信 息 安 全 标准 化 工作 ,统一 协调 和 申报 信息 安全 国家 标准 年 度 计 划 项 目 , 组 织 国家 
标准 的 送审 、 报 批 . 宣 贯 等 工作 ,对 口 ISO/IEC JTC1 SC27 ,秘书 处 设 在 中 国电 子 技 术 标 准 
化 研究 所 ,委员 会 由 30 多 个 部 门 和 单位 的 49 名 领导 和 专家 组 成 。 

全 国信 息 安全 标准 化 技术 委员 会 以 工作 组 为 主体 开展 信息 安全 标准 的 研究 制定 工作 ， 
工作 组 由 国内 信息 安全 技术 领域 的 有 关 部 门 、 研 究 机 构 、 企 事业 单位 及 高 等 院 校 等 代表 组 
成 ,是 信息 安全 标准 研制 的 技术 力量 ,已 正式 成 立 了 7 个 工作 组 ,分 别 是 WG1( 信 息 安全 标 
准 体系 与 协调 工作 组 ,下 设 一 个 可 信 计 算 工 作 小 组 )\WG2( 涉 密 信 息 系统 安全 保密 标准 工 
作 组 )、WG3( 密 码 技术 标准 工作 组 )、WG4( 鉴 别 与 授权 工作 组 )、WG5 (信息 安 全 评估 工作 
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证 


组 ,下 设 一 个 生物 特征 识别 小 组 )、WG6( 通 信和 安全 标准 工作 组 ) 以 及 WG7( 信 息 安全 管理 工 
作 组 )。 各 小 组 工作 职责 和 范围 如 表 9-1 所 示 。 


表 9-1 信安 标 委 工作 组 工作 职责 和 范围 


工作 小 组 名 和 各 


(1) 研究 信息 安全 标准 体系 ; 
(2) 跟踪 国际 标准 发 展 动态 ; 
信息 安全 标准 体系 与 协调 工 | (3) 研究 信息 安全 标准 需求 ; 下 设 一 个 可 信 计 算 工 作 
作 组 (WG1) (4) 研究 并 提出 新 工作 项 目 及 设立 新 工作 组 | 小 组 
的 建议 ; 
(5) 协调 各 工作 组 项 目 
(1) 研究 提出 涉 密 信息 系统 安全 保密 标准 
体系 ; 
(2) 制定 和 修订 涉 密 信息 系统 安全 保密 标准 
(1) 研究 提出 商用 密码 技术 标准 体系 ; 
密码 技术 标准 工作 组 (WG3) | (2) 研究 制定 商用 密码 算法 、 商 用 密码 模块 
和 商用 密 钥 管 理 等 相关 标准 
(1) 研制 鉴别 与 授权 标准 体系 ; 
鉴别 与 授权 工作 组 (WG4) (2) 调研 国内 相关 标准 需求 ; 
(3) 研究 制定 鉴别 与 授权 标准 
(1) 调研 测评 标准 现状 与 发 展 趋势 ; 
(2) 研究 我 国 统一 测评 标准 体系 的 思路 和 框 | 下 设 一 个 生物 特征 识别 
架 ,提出 测评 标准 体系 ; 小 组 
(3) 研究 制定 急需 的 测评 标准 
(1) 调研 通信 安全 标准 现状 与 发 展 趋势 ; 
通信 安全 标准 工作 组 (WG6) | (2) 研究 提出 通信 安全 标准 体系 ; 
(3) 研究 制定 急需 的 通信 安全 标准 


涉 密 信 息 系统 安全 保密 标准 
工作 组 (WG2) 


信息 安全 评估 工作 组 (WG5) 


(1) 研究 信息 安全 管理 动态 ,调研 国内 信息 
安全 管理 标准 需求 ; 

(2) 研究 提出 信息 安全 管理 标准 体系 ; 

(3) 制定 信息 安全 管理 相关 标准 


信息 安全 管理 工作 组 (WG7) 


国标 委 高 新 函 [L2004j1 号 文 规定 , 自 2004 年 1 月 起 ,各 有 关 部 门 在 申报 信息 安全 国家 
标准 计划 项 目 时 ,必须 经 全 国信 息 安 全 标准 化 技术 委员 会 提出 工作 意见 ,协调 一 致 后 由 全 国 
言 奶 安全 标准 化 技术 委员 会 组 织 申 报 ; 在 国家 标准 制定 过 程 中 ,标准 工作 组 或 主要 起 草 单 
位 要 与 全 国信 息 安 全 标准 化 技术 委员 会 积极 合作 ,并 由 全 国信 息 安全 标准 化 技术 委员 会 完 
成 国家 标准 送审 .报批 工作 。 

2. 我 国 的 信息 安全 标准 化 体系 

近年 来 ,我 国 非常 重视 信息 安全 标准 建设 工作 ,基本 形成 了 国家 和 行业 层面 的 相对 完整 
的 信息 安全 标准 体系 ,目前 国内 涉及 信息 安全 标准 化 工作 的 组 织 机 构 主 要 是 全 国信 息 技术 
安全 标准 化 技术 委员 会 和 中 国 通信 标准 化 协会 。 

全 国信 息 技 术 安 全 标准 化 技术 委员 会 本 者 “科学 合理、 系统、 适用 ”的 原则 ,总 结 各 工作 
组 对 本 领域 标准 体系 的 研究 成 果 , 同 时 在 跟踪 分 析 了 国际 信息 安全 标准 的 发 展 动态 和 国内 
言 息 安 全 标准 需求 的 基础 上 ,提出 了 我 国信 息 安全 标准 体系 框架 和 标准 体系 表 , 形 成 我 国信 
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县 安全 标准 体系 ,如 图 9-1 所 示 。 该 体系 是 指导 我 国信 息 安 全 标准 制定 和 修订 工作 开展 时 
的 指导 性 技术 文件 , 它 将 随 着 信息 安全 技术 的 发 展 而 不 断 完善 。 


安全 术语 


体系 与 模型 
基础 标准 
保密 技术 


密码 技术 


标识 与 鉴别 
授权 与 访问 控制 
技术 与 机 制 标 准 管理 技术 


物理 安全 


管理 基础 
管理 要 素 


纠 理 标准 管理 支持 拉 术 


信息 安全 服务 管理 


信息 安全 标准 体系 


个 人 信息 保护 


评估 基础 


I 


产品 测评 


瑟 


测评 标 


系 比 


eR 


测评 


能 力 评 估 


通信 基础 


通信 安全 技术 


通信 设备 安全 测评 


9-1 我 国信 息 安 全 标准 体系 
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3. 我 国 的 信息 安全 标准 

我 国 的 信息 安全 标准 化 方面 ,截至 2013 年 底 , 共 组 织 申报 信息 安全 国家 标准 290 项 ,其 
中 249 项 已 批准 列 和 国家 标准 制 修订 计划 ,截至 2013 年 底 正 式 发 布 国家 标准 140 项 ,其 中 
采用 国际 标准 的 有 35 项 ,参考 国外 先进 标准 制定 的 有 18 项 ,我 国 上 月 主 制定 的 标准 有 87 项 ， 
这 些 标准 主要 涉及 信息 安全 技术 与 机 制 \ 信 息 安 全 管理 ,信息 安全 评估 以 及 保密 、 密 码 和 通 
信安 全 等 领域 。 这 些 标准 为 我 国信 息 安 全 等 级 保护 制度 实施 和 网 络 信任 体系 建设 提供 了 基 
础 标准 文 撑 ; 为 信息 安全 应 急 处 理 和 《电子 签名 法 》 的 顺利 实施 提供 了 重要 技术 文 持 ; 为 信 
息 安 全 产品 测评 认证 提供 了 重要 依据 ,同时 也 为 电子 政务 等 国家 重大 工程 建设 提供 必要 标 
准 服务 。 

随 着 信息 安全 技术 的 不 断 发 展 和 信息 安全 形势 的 不 断 变化 ,不 但 信息 安全 标准 数量 在 
不 断 增加 ,而 且 许 多 标准 的 版 本 也 在 不 断 更 新 。 

为 推动 我 国信 息 安 全 等 级 保护 工作 ,全 国信 息 安 全 标准 化 技术 委员 会 和 公安 部 信息 系 
统 安全 标准 化 技术 委员 会 组 织 制定 了 信息 安全 等 级 保护 工作 需要 的 一 系列 标准 ,为 开展 等 
级 保护 工作 提供 了 标准 保障 。 这 些 标准 可 以 分 为 基础 类 、 应 用 类 、 产 品类 和 其 他 类 ,这 些 标 
准 包括 在 国家 标准 (GB) 和 公共 安全 行业 标准 (GA) 中 , 表 9-2 列举 了 我 国信 息 系 统 安 全 等 
级 保护 的 相关 标准 。 本 书后 续 内 容 将 主要 介绍 一 些 和 计算 机 信息 系统 安全 等 级 保护 相关 的 
一 些 标准 。 

表 9-2 信息 系统 安全 等 级 保护 相关 标准 


标准 类 型 | 子 类 型 标准 名 称 备注 


基础 类 标准 | “一 《| 计算 机 信息 系统 安全 保护 等 级 划分 准则 (GB 17859 一 1999) A 


信息 系统 定 级 信息 系统 安全 保护 等 级 定 级 指南 (GB/T 22240 一 2008) 全 
等 级 保护 实施 ”| 信息 系统 安全 等 级 保护 实施 指南 (信安 字 [2007]10) 全 


^ 
^ 
应 用 类 标准 


^ 

等级 测评 A 
em 
Ne 


信息 系统 安全 等 级 保护 基本 模型 (GA/T 709 一 2007) 
信息 系统 安全 等 级 保护 基本 配置 (GA/T 710 一 2007) 
pe 数据 库 管理 系统 安全 评估 准则 (GB/T 20009 一 2005) 
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公 和 钥 基 础 设施 安全 技术 要 求 (GA/T 687 一 2007) 
PKI 系统 安全 等 级 保护 技术 要 求 (GB/T 21053 一 2007) 
网 关 安 全 技术 要 求 (GA/T 681 一 2007) 


服务 器 安全 技术 要 求 (GB/T 21028 一 2007) 
入 侵 检测 和 人 入侵 检测 系统 技术 要 求 和 检测 方法 (GB/T 20275 一 2006) 
四 计算 机 网 络 和 人 侵 分 级 要 求 (GA/T 700 一 2007) 


防火 墙 信息 系统 安全 等 级 保护 防火 墙 安全 配置 指南 (报批 稿 ) 


其 他 产品 虹膜 特征 识别 技术 要 求 (GB/T 20979 一 2007) 


风险 评估 信息 安全 风险 评估 规范 (GB/T 20984 一 2007) 


| 事件 管理 “| 信息 安全 事件 分 类 分 级 指南 (GB/Z 20986 一 2007) 


以 上 标注 “全 ”的 将 在 本 书后 面 的 草 节 中 进行 详细 的 介绍 ,应 用 中 如 果 需 要 参考 其 他 标 
准 的 读者 请 日 行 查找 相关 资料 进行 学 习 。 国 家 信息 安全 标准 项 目 管理 与 服务 平台 网 址 为 
http://www. tc260. org. cn。 


9.1.4 计算 机 信息 系统 安全 保护 等 级 划分 准则 (GB 17859 一 1999) 


《计算 机 信息 系统 安全 保护 等 级 划分 准则 (GB 17859 一 1999)》 是 强制 性 国家 标准 ,是 其 
他 各 标准 制定 的 基础 ,为 计算 机 信息 系统 安全 法 规 的 制定 和 执法 部 门 的 监督 检查 提供 依据 ， 
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为 安全 产品 的 研制 提供 技术 支持 ,同时 为 安全 系统 的 建设 和 管理 提供 技术 指导 。 该 标准 的 
制定 参考 了 美国 的 可 信 计 算 机 系统 评估 准则 (DoD 5200. 28-STD) 和 可 信 计 算 机 网 络 系统 说 
明 (NCSC-TG-005)。 

1. 安全 保护 的 5 个 等 级 及 适用 范围 

GB 17859 一 1999 标准 规定 了 计算 机 信息 系统 安全 保护 能 力 的 5 个 等 级 。 

(1) 第 1 级 : 用 户 自 主 保护 级 。 

(2) 第 2 级 : 系统 审计 保护 级 。 

(3) 第 3 级 : 安全 标记 保护 级 。 

(4) 第 4 级 : 结构 化 保护 级 。 

(5) 第 5 级 : 访问 验证 保护 级 。 


GB 17859 一 1999 标准 适用 于 计算 机 信息 系统 安全 保护 技术 能 力 等 级 的 划分 。 计 算 机 
信息 系统 安全 保护 能 力 随 着 安全 保护 等 级 的 增高 逐渐 增强 。 

2. GB 17859 一 1999 标准 涉及 术语 的 定义 

1) 计算 机 信息 系统 

计算 机 信息 系统 (computer information system) 是 由 计算 机 及 其 相关 的 和 配套 的 设备 、 
设施 ( 含 网 络 ) 构 成 的 ,按照 一 定 的 应 用 目标 和 规则 对 信息 进行 采集 、 加 工 、 存 储 \ 传 输 、 检 索 
等 处 理 的 人 机 系统 。 

2) 计算 机 信息 系统 可 信 计 算 基 

计算 机 信息 系统 可 信 计 算 基 (trusted computing base of computer information system) 


是 计算 机 系统 内 保护 装置 的 总 体 , 包 括 硬件 .固件 、 软 件 和 负责 执行 安全 策略 的 组 合体 。 它 
建立 了 一 个 基本 的 保护 环境 并 提供 一 个 可 信 计 算 系 统 所 要 求 的 附加 用 户 服务 。 

3) 客体 

客体 (object) 指 信息 的 载体 。 

4) 主体 

主体 (subject) 指 引起 信息 在 客体 之 间 流 动 的 人 、 进 程 或 设备 等 。 

5) 敏感 标记 

敏感 标记 (sensitivity label) 表 示 客 体 安全 级 别 并 描述 客体 数据 敏感 性 的 一 组 信息 。 可 
信 计 算 基 中 把 敏感 标记 作为 强制 访问 控制 决策 的 依据 。 


6) 安全 策略 
安全 策略 指 (security policy) 有 关 管 理 .保护 和 发 布 敏感 信息 的 法 律 .规定 和 实施 细则 。 
7) 信道 


通道 指 Cchannel) 系 统 内 的 信息 传输 路 径 。 
8) 隐蔽 信道 
隐蔽 信道 (covert channel) 指 允许 进程 以 危害 系统 安全 策略 的 方式 传输 信息 的 通信 


9) 访问 监控 需 
监控 主体 和 客体 之 间 授 权 访 问 关 系 的 部 件 称 为 访问 监控 需 (reference monitor) 。 
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3. 安全 保护 5 个 等 级 的 划分 准则 

1) 第 1 级 用 户 自 主 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 通过 隔离 用 户 与 数据 ,使 用 户 具备 自主 安全 保护 的 
能 力 。 它 具有 多 种 形式 的 控制 能 力 ,对 用 户 实施 访问 控制 , 即 为 用 户 提 供 可 行 的 手段 ,保护 
用 户 和 用 户 组 信息 ,避免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 

第 1 级 的 计算 机 信息 系统 应 具备 如 下 安全 保护 能 力 。 

(1) 自主 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客 
体 的 访问 。 实 施 机 制 (例如 访问 控制 表 ) 允 许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控 
制 客体 的 共享 ; 阻止 非 授 权 用 户 读 取 敏感 信息 

(2) 身份 鉴别 。 计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身 
份 , 并 使 用 保护 机 制 ( 例 如 口令 ) 来 鉴别 用 户 的 身份 ,阻止 非 授 权 用 户 访问 用 户 身 份 鉴别 
数据 。 

(3) 数据 完整 性 。 计 算 机 信息 系统 可 信 计 算 基 通 过 自主 完整 性 策略 ,阻止 非 授 权 用 户 
修改 或 破坏 敏感 信息 。 

2) 第 2 级 系统 审计 保护 级 

与 用 户 自 主 保护 级 相 比 ,本 级 的 计算 机 信息 系统 可 信 计 算 基 实施 了 粒度 更 细 的 自主 访 
问 控制 , 它 通过 登录 规程 .审计 安全 性 相关 事件 和 隔离 资源 ,使 用 户 对 自己 的 行为 负责 。 

第 2 级 的 计算 机 信息 系统 应 具备 如 下 安全 保护 能 力 。 

(1) 自主 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客 
体 的 访问 。 实 施 机 制 ( 例 如 访问 控制 表 ) 允 许 命 名 用 户 以 用 户 和 (或 ) 用 户 组 的 号 份 规定 并 控 
制 客体 的 共享 ; 阻止 非 授 权 用 户 读 取 敏 感 信 息 , 并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 
根据 用 户 指 定 方式 或 默认 方式 ,阻止 非 授 权 用 户 访问 客体 。 访 问 控制 的 粒度 是 单个 用 户 , 没 
有 存 取 权 的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

(2) 号 份 鉴别 。 信 息 系 统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标 识 自己 的 号 份 ,并 使 
用 保护 机 制 ( 例 如 口令 ) 来 鉴别 用 户 的 身份 ; 阻止 非 授权 用 户 访问 用 户 身 份 鉴别 数据 。 通 过 
为 用 户 提 供 唯 一 标识 ,计算 机 信息 系统 可 信 计 算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 
言 息 系统 可 信 计 算 基 还 具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

(3) 客体 重用 。 在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 
定 、 分 配 或 再 分 配 一 个 主体 之 前 ,撤销 该 客体 所 含 信 息 的 所 有 授权 。 当 主体 获得 对 一 phe 
释放 的 客体 的 访问 权时 ,当前 主体 不 能 获得 原 主 体 活 动 所 产生 的 任何 信息 。 

(4) 审计 。 计 算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记 
录 ,并 阻止 非 授 权 的 用 户 对 它 访问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 打开 文件 .程序 初始 化 ) ,删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安 全 管 
理 员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 的 
日 期 和 时 间 用户、 事件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 源 
(例如 终端 标识 符 ) 。 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客 
体 名 。 

对 不 能 巾 计 算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
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口 ,可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 。 

(5) 数据 完整 性 。 计 算 机 信息 系统 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授权 用 户 
修改 或 破坏 敏感 信息 。 

3) 第 3 级 安全 标记 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 具有 系统 审计 保护 级 的 所 有 功能 。 此 外 ,还 需 提 供 
有 关 安 全 策略 模型 数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形 式 化 描述 ,具有 准确 地 标 
记 输 出 信息 的 能 力 ,消除 通过 测试 发 现 的 任何 错误 。 

第 3 级 的 计算 机 信息 系统 应 具备 如 下 安全 保护 能 力 。 

(1) 自主 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客 
体 的 访问 。 实 施 机 制 ( 例 如 访问 控制 表 ) 人 允许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控 
制 客 体 的 共享 ; 阻止 非 授 权 用 户 读 取 敏感 信息 ,并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 
根据 用 户 指 定 方式 或 默认 方式 ,阻止 非 授 权 用 户 访问 客体 ; 访问 控制 的 粒度 是 单个 用 户 。 
没有 存 取 权 的 用 户 只 允许 由 授权 用 户 指 定 对 客体 的 访问 权 , 阻 止 非 授 权 用 户 读 取 敏 感 信息 。 

(2) 强制 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 对 所 有 主体 及 其 所 控制 的 客体 (例如 
进程 文件. 段 .设备 ) 实 施 强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标记 是 等 
级 分 类 和 非 等 级 类 别 的 组 合 , 它 们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 计 算 
基 支 持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 控制 的 所 有 主体 对 
客体 的 访问 应 满足 : 仅 当 主体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 ， 
日 主体 安全 级 中 的 非 等 级 类 别 包 含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 , 主 体 才能 读 客体 ; 
仅 当 主体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安 全 级 中 的 非 
等 级 类 别 包含 于 客体 安全 级 中 的 非 等 级 类 别 ,主体 才能 写 一 个 客体 。 计 算 机 信息 系统 可 信 
计算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 ,并 保证 用 户 创 建 的 计算 机 信息 系统 可 信 计 算 
基 外 部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

(3) 标记 。 计 算 机 信息 系统 可 信 计 算 基 应 维护 与 主体 及 其 控制 的 存储 客体 (例如 进程 、 
文件 、 段 .设备 ) 相 关 的 敏感 标记 ,这 些 标记 是 实施 强制 访问 的 基础 。 为 了 输入 未 加 安全 标记 
的 数据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 接受 这 些 数据 的 安全 级 别 , 且 可 由 计 
算 机 信息 系统 可 信 计 算 基 审计 。 

(4) 身份 鉴别 。 计 算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身 
份 。 计 算 机 信息 系统 可 信 计 算 基 维护 用 户 身 份 识 别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 
算 机 信息 系统 可 信 计 算 基 使 用 这 些 数据 鉴别 用 户 身 份 ,并 使 用 保护 机 制 ( 例 如 口令 ) 来 鉴别 
用 户 的 身份 ; 阻止 非 授 权 用 户 访问 用 户 身 份 鉴别 数据 。 通 过 为 用 户 提 供 唯一 标识 ,计算 机 
言 息 系统 可 信 计 算 基 能 够 使 用 户 对 上 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 
身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

(5) 客体 重用 。 在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指 
定 、 分 配 或 再 分 配 一 个 主体 之 前 ,撤销 客体 所 含 信 息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释 
放 的 客体 的 访问 权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 

(6) 审计 。 计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记 
录 ,并 能 阻止 非 授 权 的 用 户 对 它 访 问 或 破坏 。 
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计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 打开 文件 ,程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 管 


理 员 实施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 : 事件 
的 日 期 和 时 间 用户 .事件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 
源 ( 例 如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 
客体 名 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 .更改 可 读 输 出 记号 
的 能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 , 可 由 授权 主体 调用 。 这 些 审 计 记 录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 。 

(7) 数据 完整 性 。 计 算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授 
权 用 户 修改 或 破坏 敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 
受 损 。 

4) 第 4 级 结构 化 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 ， 
它 要 求 将 第 3 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ,还 要 考虑 隐 
蔽 通道 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 必 须 结 构 化 为 关键 保护 元 素 和 非 关 键 保护 元 
素 。 计 算 机 信息 系统 可 信 计 算 基 的 接口 也 必须 明确 定义 ,使 其 设计 与 实现 能 经 受 更 充分 的 
测试 和 更 完整 的 复审 ,加 强 了 鉴别 机 制 ; 文 持 系统 管理 员 和 操作 员 的 职能 ,提供 可 信 设 施 管 
理 ; 增强 了 配置 管理 控制 。 系 统 具 有 相当 的 抗 渗透 能 力 。 

第 4 级 的 计算 机 信息 系统 应 具备 如 下 安全 保护 能 力 。 

(1) 自主 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客 
体 的 访问 。 实 施 机 制 ( 例 如 访问 控制 表 ) 人 允许 命名 用 户 和 (或 ) 以 用 户 组 的 身份 规定 并 控制 客 
体 的 共享 ; 阻止 非 授 权 用 户 读 取 敏感 信息 并 控制 访问 权限 扩散 。 

自主 访问 控制 机 制 根据 用 户 指定 方式 或 默认 方式 ,阻止 非 授 权 用 户 访 问 客体 。 访问 控 
制 的 粒度 是 单个 用 户 。 没 有 存 取 权 的 用 户 只 允许 由 授权 用 户 指 定 对 客体 的 访问 权 。 

(2) 强制 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 对 外 部 主体 能 够 直接 或 间接 访问 的 所 
有 资源 (例如 主体 、 存 储 客 体 和 输入 输出 资源 ) 实 施 强 制 访问 控制 。 为 这 些 主体 及 客体 指定 
敏感 标记 ,这 些 标记 是 等 级 分 类 和 非 等 级 类 别 的 组 合 , 它 们 是 实施 强制 访问 控制 的 依据 。 计 
算 机 信息 系统 可 信 计 算 基 支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 
算 基 外 部 的 所 有 主体 对 客体 的 直接 或 间接 的 访问 应 满足 : 仅 当 主体 安全 级 中 的 等 级 分 类 高 
于 或 等 于 客体 安全 级 中 的 等 级 分 类 ,日 主体 安全 级 中 的 非 等 级 类 别 包 含 了 客体 安全 级 中 的 
全 部 非 等 级 类 别 , 主 体 才 能 读 客体 ; 仅 当 主体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 
中 的 等 级 分 类 ,是 主体 安全 级 中 的 非 等 级 类 别 包 含 于 客体 安全 级 中 的 非 等 级 类 别 , 主 体 才能 
写 一 个 客体 。 计 算 机 信息 系统 可 信 计 算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 ,保证 用 户 
创建 的 计算 机 信息 系统 可 信 计 算 基 外 部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 
控制 。 

(3) 标记 。 计 算 机 信息 系统 可 信 计 算 基 维护 与 可 被 外 部 主体 直接 或 间接 访问 到 的 计算 
机 信息 系统 资源 (例如 主体 、 存 储 客体 、 只 读 存 储 器 ) 相 关 的 敏感 标记 ,这 些 标 记 是 实施 强制 
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访问 的 基础 。 为 了 输入 未 加 安全 标记 的 数据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 
并 接受 这 些 数 据 的 安全 级 别 , 且 可 由 计算 机 信息 系统 可 信 计 算 基 审 计 。 

(4) 身份 鉴别 。 计 算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标 识 自 己 的 身 
份 ,而 且 , 计 算 机 信息 系统 可 信 计 算 基 维 护 用 户 身 份 识别 数据 并 确定 用 户 访 问 权 及 授权 数 
据 。 计 算 机 信息 系统 可 信 计 算 基 使 用 这 些 数据 ,鉴别 用 户 身 份 , 并 使 用 保护 机 制 ( 例 如 口令 ) 
来 鉴别 用 户 的 身份 ; 阻止 非 授 权 用 户 访问 用 户 身 份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标识 ， 
计算 机 信息 系统 可 信 计 算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 
具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

(5) 客体 重用 。 在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 
定 、 分 配 或 再 分 配 一 个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 忆 庆 和 
放 的 客体 的 访问 权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

(6) 审计 。 计 算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记 
录 , 并 能 阻止 非 授 权 的 用 户 对 它 访 问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 打开 文件 .程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安 全 管 
理 员 实施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 的 
日 期 和 时 间 用户、 事件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 源 
(例如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客 
体 名 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 、 更 改 可 读 输出 记号 的 
能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 ,可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 。 计 算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 

(7) 数据 完整 性 。 计 算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授 
权 用 户 修 改 或 破坏 敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 
损 。 

(8) 隐蔽 信道 分 析 。 系 统 开 发 者 应 彻底 搜索 隐蔽 存储 信道 ,并 根据 实际 测量 或 工程 佑 
算 确定 每 一 个 被 标识 信道 的 最 大 带宽 。 

(9) 可 信和 路 径 。 对 用 户 的 初始 登录 和 鉴别 ,计算 机 信息 系统 可 信 计 算 基 在 它 与 用 户 之 
间 提 供 可 信和 通信 和 路径 ,该 路 径 上 的 通信 只 能 由 该 用 户 初始 化 。 

5) 第 5 级 访问 验证 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 满足 访问 监控 器 需求 ,访问 监控 器 仲裁 主体 对 客体 
的 全 部 访问 。 访 问 监控 器 本 身 是 抗 算 改 的 , 必须 足够 小 ,能 够 分 析 和 测试 。 为 了 满足 访问 
监控 需 需 求 ,计算 机 信息 系统 可 信 计 算 基 在 其 构造 时 ,排除 那些 对 实施 安全 策略 来 说 并 非 必 
要 的 代码 ; 在 设计 和 实现 时 ,从 系统 工程 角度 将 其 复杂 性 降低 到 最 低 程 度 。 文 持 安 全 管理 
员 职 能 ; 扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ; 提供 系统 恢复 机 制 。 系 统 
具有 很 高 的 抗 渗透 能 力 。 

第 5 级 的 计算 机 信息 系统 应 具备 如 下 安全 保护 能 力 。 

(1) 自主 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 定义 并 控制 系统 中 命名 用 户 对 命名 客 
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体 的 访问 ,实施 机 制 ( 例 如 访问 控制 表 ) 允 许 命名 用 户 和 (或 ) 以 用 户 组 的 号 份 规定 并 控制 客 
体 的 共享 ; 阻止 非 授 权 用 户 读 取 敏感 信息 ,并 控制 访问 权限 扩散 。 

自主 访问 控制 机 制 根据 用 户 指定 方式 或 默认 方式 ,阻止 非 授 权 用 户 访问 客体 。 访 问 控 
制 的 粒度 是 单个 用 户 。 访 问 控制 能 够 为 每 个 命名 客体 指定 命名 用 户 和 用 户 组 ,并 规定 其 对 
客体 的 访问 模式 。 没 有 存 取 权 的 用 户 只 允许 由 授权 用 户 指 定 对 客体 的 访问 权 。 

(2) 强制 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 对 外 部 主体 能 够 直接 或 间接 访问 的 所 
有 资源 (例如 主体 、 存 储 客体 和 输入 输出 资源 ) 实 施 强制 访问 控制 ,为 这 些 主体 及 客体 指定 敏 
感 标 记 这 些 标记 是 等 级 分 类 和 非 等 级 类 别 的 组 合 , 它 们 是 实施 强制 访问 控制 的 依据 。 计 算 
机 信息 系统 可 信 计 算 基 支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 
基 外 部 的 所 有 主体 对 客体 的 直接 或 间接 的 访问 应 满足 : 仅 当 主体 安全 级 中 的 等 级 分 类 高 于 
或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安 全 级 中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 
部 非 等 级 类 别 ,主体 才能 庶 客 体 , 仅 当主 体 安 全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 
等 级 分 类 , 且 主 体 安全 级 中 的 非 等 级 类 别 包 含 于 客体 安全 级 中 的 非 等 级 类 别 ,主体 才能 写 一 
个 客体 。 计 算 机 信息 系统 可 信 计 算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 ,保证 用 户 创 建 
的 计算 机 信息 系统 可 信 计 算 基 外 部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

(3) 标记 。 计 算 机 信息 系统 可 信 计 算 基 维护 与 可 被 外 部 主体 直接 或 间接 访问 到 的 计算 
机 信息 系统 源 ( 例 如 主体 、 存 储 客体 、 只 读 存 储 带 ) 相 关 的 敏感 标记 ,这 些 标记 是 实施 强制 访 
问 的 基础 。 为 了 输入 未 加 安全 标记 的 数据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 
接受 这 些 数据 的 安全 级 别 , 且 可 由 计算 机 信息 系统 可 信 计 算 基 审计 。 

(4) 身份 鉴别 。 计 算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 目 己 的 身 
份 。 计 算 机 信 系 统 可 信 计 算 基 维护 用 户 身 份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 算 
机 信息 系统 可 信 计 算 基 使 用 这 些 数 据 鉴别 用 户 号 份 ,并 使 用 保护 机 制 (例如 口令 ) 来 鉴别 用 
户 的 身份 ; 阻止 非 授 权 用 户 访 问 用 户 有 身份 鉴别 数据 。 通 过 为 用 户 提 供 唯一 标识 ,计算 机 信 
恩 系 统 可 信 计 算 基 能 够 使 用 户 对 目 己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 和 号 
份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

(5) 客体 重用 。 在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指 
定 、 分 配 或 再 分 配 一 个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释 
放 的 客体 的 访问 权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

(6) 审计 。 计 算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟 踊 记 
录 , 并 能 阻止 非 授 权 的 用 户 对 它 访 问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 打开 文件 ,程序 初始 化 ) ; 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安 全 管 
理 员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 的 
日 期 和 时 间 、 用 户 、 事 件 类 型 事件 是 否 成 功 。 对 于 号 份 鉴别 事件 ,审计 记录 包含 请 求 的 来 源 
(例如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客 
体 名 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 .更 改 可 读 输 出 记号 的 
能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 
接口 ,可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 
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审计 记录 。 计 算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 
事件 。 

计算 机 信息 系统 可 信 计 算 基 包含 能 够 监控 可 审计 安全 事件 发 生 与 积累 的 机 制 , 当 超过 
阔 值 时 ,能 够 立即 向 安全 管理 员 发 出 警报 ,并 且 , 如 果 这 些 与 安全 相关 的 事件 继续 发 生 或 积 
累 ,系统 应 以 最 小 的 代价 终止 它们 。 

(7) 数据 完整 性 。 计 算 机 信息 系统 可 信 计 算 基 通 过 自主 和 强制 完整 性 策略 ,阻止 非 授 
权 用 户 修改 或 破坏 敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 
受 损 。 

(8) 隐蔽 信道 分 析 。 系 统 开发 者 应 彻底 搜索 隐蔽 信道 ,并 根据 实际 测量 或 工程 估算 确 
定 每 一 个 被 标识 信道 的 最 大 带宽 。 

(9) 可 信 路 径 。 当 连接 用 户 时 (如 注册 、 更 改 主体 安全 级 ) ,计算 机 信息 系统 可 信 计 算 基 
提供 它 与 用 户 之 间 的 可 信 通 信 路 径 。 可 信 路 径 上 的 通信 只 能 巾 该 用 户 或 计算 机 信息 系统 可 
言 计算 基 激 活 , 且 在 逻辑 上 与 其 他 路 径 上 的 通信 相隔 离 , 且 能 正确 地 加 以 区 分 。 

(10) 可 信和 恢复 。 计算机 信息 系统 可 信 计 算 基 提供 过 程 和 机 制 , 保 证 计算 机 信息 系统 失 
效 或 中 断后 可 以 进行 不 损害 任何 安全 保护 性 能 的 恢复 。 

4. 5 个 安全 等 级 保护 能 力 的 比较 


根据 对 GB 17859 一 1999 标准 的 介绍 ,可 以 看 到 不 同等 级 的 计算 机 系统 具有 不 同 的 安 
全 保护 能 力 ,第 1 到 第 5 级 的 安全 保护 等 级 是 在 逐步 增高 的 ,对 应 的 安全 保护 的 能 力也 在 逐 
渐 增 强 。5 个 安全 等 级 保护 能 力 综 合 比 较 如 表 9-3 所 示 。 


表 9-3 安全 等 级 保护 能 力 综合 比较 一 览 表 


自主 访问 控制 ©® | ©® | ©®。 | ©® | ®。 
强制 访问 控制 ”| | © ©。 | ® 
标记 ”| | © | ©。 | ®。 
身份 下 oe | | 。 ||。 |。 
客体 重用 ”| © | © | ©® | ®% 
审计 ”| © | ©。 | ©® | ®。 
数据 完整 性 ©® | ©® | ©®。 | ©® | ®。 
隐蔽 信道 分 析 ”| | | © | ®。 
可 信 路 径 ”| | | © | ®。 
可 信人 恢复 ”| | | | ® 


9.1.5 信息 安全 等 级 保护 其 他 相关 标准 

1. 信息 安全 等 级 保护 相关 标准 概述 

多 年 来 ,在 有 关 部 门 的 文 持 下 ,在 国内 有 关 专 家 、 企 业 的 共同 努力 下 ,全 国信 息 安 全 标准 
化 技术 委员 会 和 公安 部 信息 系统 安全 标准 化 技术 委员 会 组 织 制 定 了 信息 安全 等 级 保护 工作 
需要 的 一 系列 标准 (有 具体 标准 见 表 9-2) ,各 标准 在 信息 安全 等 级 保护 建设 的 各 环节 中 都 发 
挥 了 很 重要 的 指导 作用 ,形成 了 比较 完整 的 信息 安全 等 级 保护 标准 体系 ,如 图 9-2 所 示 。 

《计算 机 信息 系统 安全 保护 等 级 划分 准则 (GB 17859 一 1999)》( 以 下 简称 《等 级 划分 准 
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则 》) 是 强制 性 国家 标准 ,是 其 他 各 信息 安全 等 级 保护 标准 制定 的 基础 ,标准 的 具体 内 容 已 
在 9.1.4 节 做 了 详细 介绍 。 


信息 系统 安全 等 级 保护 定 级 指南 


言 轧 系统 安全 等 级 傈 护 行 业 定 级 细则 


信息 系统 安 
全 等 级 保护 | 上 上 一 ee 
测评 要 求 


保护 测评 
过 程 指南 


等级 保护 建设 


操作 系统 安全 
技术 要 求 
类 
其 他 技术 类 标准 其 他 管理 类 标准 其 他 产品 类 标准 


DE slid a dd Mise 


图 9-2 信息 安全 等 级 保护 标准 在 各 工作 环节 的 作用 


《信息 系统 安全 保护 等 级 定 级 指南 (GB/T 22240 一 2008)》( 以 下 简称 《 定 级 指南 )) 规 定 
了 定 级 的 依据 .对 象 .流程 和 方法 以 及 等 级 变更 等 内 容 , 同 各 行业 发 布 的 定 级 实施 细则 共同 
用 于 指导 开展 信息 系统 定 级 工作 。 

《信息 系统 安全 等 级 保护 基本 要 求 (GB/T 22239 一 2008)》( 以 下 简称 《基本 要 求 )) 是 在 
《等 级 划分 准则 》 以 及 各 技术 类 标准 、 管 理 类 标准 和 产品 类 标准 (所 含 标准 见 表 9-2) 基 础 上 
制定 的 ,给 出 了 各 级 信息 系统 应 当 具 备 的 安全 防护 能 力 , 并 从 技术 和 管理 两 个 方面 提出 了 相 
应 的 措施 ,是 信息 系统 进行 建设 整改 的 安全 需求 。 

《信息 系统 安全 等 级 保护 实施 指南 (信安 字 L2007j10)》( 以 下 简称 4 实施 指南 》 和 《信息 
系统 等 级 保护 安全 设计 技术 要 求 (GB/T 24856 一 2009)》( 以 下 简称 《技术 要 求 》)) 构 成 了 指导 
信息 系统 安全 建设 整改 的 方法 指导 类 标准 。《 实 施 指南 阐述 了 在 系统 建设 、 运 维和 废止 等 
各 个 生命 周期 阶段 中 如 何 按照 信息 安全 等 级 保护 政策 .标准 要 求实 施 等 级 保护 工作 ;《 技 术 
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要 求 ) 提 出 了 信息 系统 等 级 保护 安全 设计 的 技术 要 求 ,包括 安全 计算 环境 、 安 全 区 域 边界 、 安 
全 通信 和 网络 、 安 全 管理 中 心 等 各 方面 的 要 求 。 

《信息 系统 安全 等 级 保护 测评 要 求 GB/T 28448 一 2012》( 以 下 简称 《测评 要 求 )) 和 《 信 
息 系统 安全 等 级 保护 测评 过 程 指南 GB/T 28449 一 2012》( 以 下 简称 《测评 指南 》) 构 成 了 指 
导 开 展 等 级 测评 的 标准 规范 。《 测 评 要 求 ) 曾 述 了 等 级 测评 的 原则 、 测 评 内 容 、 测 评 强 度 、 单 
元 测评 .整体 测评 .测评 结论 的 产生 方法 等 内 容 ;《 测 评 指 南 》 阐 述 了 信息 系统 等 级 测评 的 过 
程 ,包括 测评 准备 、 方 案 编制 现场 测评 ,分 析 与 报告 编制 等 各 个 活动 的 工作 任务 、 分 析 方 法 

2. 信息 系统 安全 等 级 保护 定 级 


《 定 级 指南 》 依 据 等 级 保护 相关 管理 文件 ,从 信息 系统 所 承载 的 业务 在 国家 安全 、 经 济 建 
设 、 社 会 生活 中 的 重要 作用 和 业务 对 信息 系统 的 依赖 程度 这 两 方面 ,提出 确定 信息 系统 安全 
保护 等 级 的 方法 。 

在 《 定 级 指南 ) 中 明确 了 等 级 保护 的 对 象 是 信息 安全 等 级 保护 工作 直接 作用 的 具体 信息 
和 信息 系统 。 客 体 是 受 法律 保 护 的 、 等 级 保护 对 象 受 到 破坏 时 所 侵害 的 社会 关系 ,如 国家 安 
全 、 社 会 秩序 公共 利 益 以 及 公民 、 法 人 或 其 他 组 织 的 合法 权益 。 系 统 服务 是 信息 系统 为 支 
持 其 所 承载 业务 而 提供 的 程序 化 过 程 。 

1) 信息 系统 安全 保护 等 级 

在 《 定 级 指南 ) 中 明确 了 根据 等 级 保护 相关 管理 文件 ,信息 系统 的 安全 保护 等 级 分 为 以 
下 5 级 。 

第 1 级 ,信息 系统 受到 破坏 后 ,会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 损害 ,但 不 损 
害 国家 安全 、 社 会 秩序 和 公共 利益 。 

第 2 级 ,信息 系统 受到 破坏 后 ,会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 产生 严重 损害 ,或 
者 对 社会 秩序 和 公共 利益 造成 损害 ,但 不 损害 国家 安全 。 

第 3 级 ,信息 系统 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 严重 损害 ,或 者 对 国家 安 
全 造成 损害 。 

第 4 级 ,信息 系统 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 特别 严重 损害 ,或 者 对 国 
家 安全 造成 严重 损害 。 

第 5 级 ,信息 系统 受到 破坏 后 ,会 对 国家 安全 造成 特别 严重 损害 。 

2) 定 级 要 素 与 信息 系统 安全 保护 等 级 

《 定 级 指南 》 中 明确 了 信息 系统 的 安全 保护 等 级 的 两 个 定 级 要 素 是 等 级 保护 对 象 受到 破 
坏 时 所 侵害 的 客体 和 对 客体 造成 侵害 的 程度 。《 定 级 指南 ) 中 还 指明 了 各 定 级 要 素 所 包含 的 
内 容 。 定 级 要 素 与 信息 系统 安全 保护 等 级 的 关系 如 表 9-4 所 示 。 

表 9-4” 定 级 要 素 与 信息 系统 安全 保护 等 级 的 关系 
对 客体 的 侵害 程度 
受 侵害 的 客体 

公民 、 法 人 和 其 他 组 织 的 合法 权益 第 3 级 


社会 秩序 ,公共 利益 第 4 级 
国家 安全 第 5 级 
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3) 定 级 方法 和 流程 

《 定 级 指南 ) 还 给 出 了 确定 等 级 一 般 流 程 ,流程 一 共 涉 及 8 个 步骤 ,具体 步骤 和 流程 如 
图 9-3 所 示 ,流程 中 的 每 个 步骤 如 何 进 行 , 请 读者 具体 参考 4 信息 系统 安全 保护 等 级 定 级 指 
南 (GB/T 22240 一 2008) 》。 


1. 确定 定 级 对 象 


2. 确定 业务 信息 安全 受到 破坏 5. 确定 系统 服务 安全 受到 破 
时 所 侵害 的 客体 坏 时 所 侵害 的 客体 


3. 综合 评定 对 客体 的 侵害 程度 | ”| 6. 综合 评定 对 客体 的 侵害 程度 


4. 业务 信息 安全 等 级 
定 级 对 象 的 安全 你 护 等 级 


9-3 信息 安全 等 级 保护 定 级 的 一 般 流程 


7. 系统 服务 安全 等 级 


3. 信息 系统 安全 等 级 保护 基本 要 求 

《信息 系统 安全 等 级 保护 基本 要 求 (GB/T 22239 一 2008)》( 以 下 简称 《基本 要 求 》) 根 据 
现 有 技术 的 发 展 水 平 ,提出 和 规定 了 不 同安 全 保护 等 级 信息 系统 的 最 低 保护 要 求 , 即 基本 安 
全 要 求 ,基本 安全 要 求 包括 基本 技术 要 求 和 基本 管理 要 求 ,适用 于 指导 不 同安 全 保护 等 级 信 
息 系统 的 安全 建设 和 监督 管理 。 

重点 行业 可 以 按照 4 基本 要 求 》 等 国家 标准 ,结合 行业 特点 ,在 公安 部 等 有 关 部 门 指导 
下 ,确定 《基本 要 求 》 的 具体 指标 ,在 不 低 于 《基本 要 求 》 的 情况 下 ,结合 系统 安全 保护 的 特殊 
需求 ,制定 行业 标准 规范 或 细则 。 

1) 信息 系统 安全 保护 等 级 概述 

《基本 要 求 》 定 义 了 安全 保护 能 力 是 系统 能 够 抵御 威胁 、 发 现 安 全 事件 以 及 在 系统 遭 到 
损害 后 能 够 恢复 之 前 状态 等 的 程度 。 信 息 系 统 根据 其 在 国家 安全 、 经 济 建设 .社会 生活 中 的 
重要 程度 , 遭 到 破坏 后 对 国家 安全 、 社 会 秩序 .公共 利益 以 及 公民 法 人 和 其 他 组 织 的 合法 权 
益 的 危害 程度 等 ,由 低 到 高 划分 为 5 级 ,这 5 级 的 划分 准则 已 在 4 划分 准则 》 中 进行 了 定义 。 
在 《基本 要 求 》 中 对 不 同等 级 的 信息 系统 应 具备 的 基本 安全 保护 能 力 明 确 如 下 。 

(1) 第 1 级 安全 保护 能 力 。 能 够 防护 系统 免 受 来 自 个 人 的 、 拥 有 很 少 资源 的 威胁 源 发 
起 的 恶意 攻击 一般 的 自然 灾难 以 及 其 他 相当 危害 程度 的 威胁 所 造成 的 关键 资源 损害 ,在 系 
统 遭 到 损害 后 ,能 够 恢复 部 分 功能 。 

(2) 第 2 级 安全 保护 能 力 。 能 够 防护 系统 免 受 来 自 外 部 小 型 组 织 的 ,拥有 少量 资源 的 
威胁 源 发 起 的 恶意 攻击 一般 的 自然 灾难 以 及 其 他 相当 人 危害 程度 的 威胁 所 造成 的 重要 资源 
损害 ,能 够 发现 重要 的 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能够 在 一 段 时 间 内 恢复 部 
分 功能 。 

(3) 第 3 级 安全 保护 能 力 。 能 够 在 统一 安全 策略 下 防护 系统 免 受 来 自 外 部 有 组 织 的 团 
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体 、 拥 有 较为 丰富 资源 的 威胁 源 发 起 的 恶意 攻击 、 较 为 严重 的 有 自然 灾难 以 及 其 他 相当 人 危害 程 
度 的 威胁 所 造成 的 主要 资源 损害 ,能够 发 现 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能够 
较 快 恢复 绝 大 部 分 功能 。 

(4) 第 4 级 安全 保护 能 力 。 能 够 在 统一 安全 策略 下 防护 系统 免 受 来 自 国家 级 别 的 、 敌 
对 组 织 的 、 拥 有 丰富 资源 的 威胁 源 发 起 的 恶意 攻击 、 严 重 的 自然 灾难 以 及 其 他 相当 危害 程度 
的 威胁 所 造成 的 资源 损害 ,能 够 发 现 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能够 迅速 恢 
复 所 有 功能 。 

(5) 第 5 级 安全 保护 能 力 ( 略 )。 

信息 系统 安全 等 级 保护 应 依据 信息 系统 的 安全 保护 等 级 情况 保证 它们 具有 相应 等 级 的 
基本 安全 保护 能 力 ,不 同安 全 保护 等 级 的 信息 系统 要 求 具 有 不 同 的 安全 保护 能 力 。 

2) 信息 安全 等 级 保护 的 基本 安全 要 求 

基本 安全 要 求 是 针对 不 同安 全 保护 等 级 信息 系统 应 该 具有 的 基本 安全 保护 能 力 提 出 的 
安全 要 求 ,根据 实现 方式 的 不 同 , 基 本 安全 要 求 分 为 基本 技术 要 求 和 基本 管理 要 求 两 大 类 ， 
是 确保 信息 系统 安全 不 可 分 割 的 两 个 部 分 。 

基本 技术 要 求 从 物理 安全 、 网 络 安全 主机 安全 应 用 安全 数据 安全 及 备份 恢复 几 个 层 
面 提出 ,技术 类 安全 要 求 与 信息 系统 提供 的 技术 安全 机 制 有 关 , 主要 通过 在 信息 系统 中 部 署 
软 便 件 并 正确 配置 其 安全 功能 来 实现 。 

基本 管理 要 求 从 安全 管理 制度 .安全 管理 机 构 、 人 员 安 全 管理 .系统 建设 管理 和 系统 运 
维 管理 几 个 方面 提出 。 管 理 类 安全 要 求 与 信息 系统 中 各 种 角色 参与 的 活动 有 关 , 主 要 通过 
控制 各 种 角色 的 活动 ,从 政策 .制度 .规范 流程 以 及 记录 等 方面 做 出 规定 来 实现 。 图 9-4 所 
示 表 示 了 基本 安全 要 求 两 个 类 的 各 个 层面 。 


物理 安全 


基本 技术 要 求 主机 安全 
数据 安全 及 备份 恢复 
基本 安全 要 求 
安全 管理 机 构 
基本 管理 要 求 人 员 安 全 管理 


系统 建设 管理 


系统 运 维 管理 


9-4 信息 安全 等 级 保护 基本 安全 要 求 两 类 的 各 层面 


《基本 要 求 》 明 确 了 基本 安全 要 求 从 各 个 层面 或 方面 提出 了 系统 的 每 个 组 件 应 该 满足 的 
安全 要 求 ,信息 系统 具有 的 整体 安全 保护 能 力 通过 不 同 组 件 实现 基本 安全 要 求 来 保证 ,除了 
保证 系统 的 每 个 组 件 满足 基本 安全 要 求 外 ,还 要 考虑 组 件 之 间 的 相互 关系 ,来 保证 信息 系统 
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的 整体 安全 保护 能 力 。 关 于 信息 系统 整体 安全 保护 能 力 的 说 明 请 读者 参阅 (基本 要 求 》 附 
录 A。 

对 于 涉及 国家 秘密 的 信息 系统 ,应 按照 国家 保密 工作 部 门 的 相关 规定 和 标准 进行 保护 。 
对 于 涉及 密码 的 使 用 和 管理 ,应 按照 国家 密码 管理 的 相关 规定 和 标准 实施 。 

根据 保护 侧重 点 的 不 同人 基本 要 求 》 对 技术 类 安全 要 求 进 一 步 细 分 为 : 保护 数据 在 存 
储 、 传 输 、 处 理 过 程 中 不 被 泄露 .破坏 和 免 受 未 授权 地 修改 的 信息 安全 类 要 求 ( 简 记 为 S); 
保护 系统 连续 正常 地 运行 , 免 受 对 系统 的 未 授权 修改 、 破 坏 而 导致 系统 不 可 用 的 服务 保证 类 
要 求 (侧记 为 A); 通用 安全 保护 类 要 求 ( 简 记 为 G)。 

《基本 要 求 ) 对 基本 安全 要 求 使 用 了 标记 ,其 中 的 字母 表示 安全 要 求 的 类 型 ,数字 表示 适 
用 的 安全 保护 等 级 。 关 于 各 类 安全 要 求 的 选择 和 使 用 请 读者 参阅 (基本 要 求 ) 附 录 B。 

3) 基本 要 求 的 特点 

《基本 要 求 》 从 第 5 一 9 章 分 别针 对 不 同安 全 保护 等 级 信息 系统 应 该 具有 的 基本 安全 保 
护 能 力 提 出 了 对 应 的 基本 安全 要 求 , 图 9-5 所 示 是 描述 某 级 别 系统 等 级 保护 能 力 的 结构 。 


某 级 别 系统 基本 安全 要 求 


控制 总 


9-5 某 级 别 系 统 等 级 保护 能 力 的 结构 


根据 《基本 要 求 ) 中 对 第 1 一 5 级 的 基本 安全 要 求 , 做 了 如 表 9-5 所 示 的 不 同 级 别 系 统 控 
制 点 和 要 求 项 的 差异 汇总 ,可 以 看 出 信息 安全 等 级 保护 的 基本 安全 要 求 具有 如 下 特点 。 

(1) 控制 点 逐 级 增加 。 了 逐 级 在 同一 类 的 控制 点 增加 。 

例如 ,第 3 级 基本 要 求 在 第 2 级 基本 要 求 的 基础 上 ,技术 方面 ,在 控制 点 上 增加 了 网 络 
恶意 代码 防范 、 剩 余 信息 保护 、 软 件 容 错 、 抗 抵赖 等 。 管 理 方面 ,增加 了 系统 备案 .安全 测评 、 
监控 管理 和 安全 管理 中 心 等 控制 点 。 第 4 级 基本 要 求 在 第 3 级 基本 要 求 的 基础 上 ,技术 方 
面 ,在 系统 和 应 用 层面 控制 点 上 增加 了 安全 标记 、 可 信 路 径 。 

(2) 要 求 项 逐 级 增加 。 主 要 表现 在 不 同 级 别 的 同一 控制 点 的 要 求 项 逐 级 增多 ,项 目 增 
加 ,要求 增强 。 

例如 ,对 “身份 鉴别 ”, 第 1 级 要 求 *“ 进 行 身 份 标识 和 鉴别 ,第 2 级 增加 要 求 “ 口 令 复杂 
度 、 登 录 失 败 保护 等 ”, 第 3 级 则 要 求 “ 采 用 两 种 或 两 种 以 上 组 合 的 鉴别 技术 ”。 

(3) 要 求 项 逐 级 增强 。 主 要 表现 在 要 求 项 的 范围 逐 级 增 大 ,要求 也 逐 级 细 化 ,要 求 的 料 
度 也 逐 级 细 化 ,增强 了 要 求 的 强度 。 
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表 9-5 信息 安全 等 级 保护 基本 安全 要 求 差异 汇总 


要 求 项 
Wa | 7 | | 0 | 0 | | | | 
此 本 技术 要 求 ES | 4 | 6 | 7 | 9 |6 |i | | 
应 用 安全 er 7 | 
到 所 安全 及 而 度 复 | 2 | 3 | 3 | 3 | 2 | 4 | s | 
1 
| 4 | 5 | 5 | 5 | 4 | | 
基本 管理 要 求 | 人 员 安全 管理 | 4 | 5 | 5 | 5 |7|1|1 aa 
ETT 
| 
BH | | | 7 | 7 | ao as 


4. 信息 安全 等 级 保护 的 实施 和 设计 

《 定 级 指南 ) 确 定 出 系统 等 级 以 及 业务 信息 安全 性 等 级 和 业务 服务 保证 性 等 级 后 ,需要 
按照 相应 等 级 ,根据 《基本 要 求 ) 选 择 相 应 等 级 的 安全 保护 要 求 进行 系统 建设 实施 。 

《信息 系统 安全 等 级 保护 实施 指南 (信安 字 [L2007j10) 光 以 下 简称 4 实施 指南 力 介 绍 和 摘 
述 了 实施 信息 系统 等 级 保护 过 程 中 涉及 的 阶段 、. 过程 和 需要 完成 的 活动 ,通过 对 过 程 和 活动 
的 介绍 ,使 大 家 了 解 信 息 系统 实施 等 级 保护 的 流程 方法 ,以 及 不 同 角 色 在 不 同 阶段 的 作 
用 等 。 

1) 信息 安全 等 级 保护 实施 概述 

《实施 指南 ) 规 定 了 信息 系统 安全 等 级 保护 实施 过 程 中 应 遵循 自主 保护 原则 、 重 点 保护 
原则 、 同 步 建 设 原则 以 及 动态 调整 原则 。 

在 信息 系统 安全 等 级 保护 实施 过 程 中 各 部 门 和 相关 机 构 等 都 要 按照 国家 信息 安全 等 级 
保护 的 相关 管理 规范 和 技术 标准 来 履行 相应 的 职责 ,信息 系统 安全 等 级 保护 实施 过 程 中 涉 
及 的 各 类 角色 和 职责 如 表 9-6 所 示 。 


表 9-6 信息 系统 安全 等 级 保护 实施 过 程 中 涉及 的 角色 和 职责 


角色 和 机 构 相关 部 门 主要 职责 


负责 信息 安全 等 级 保护 工作 的 监督 检查、 指导 

负责 等 级 保护 工作 中 有 关 保 密 工 作 的 监督 .检查 ,指导 
负责 等 级 保护 工作 中 有 关 密 码 工 作 的 监督 .检查 ,指导 
国务 院 信息 化 工作 办 

公 室 及 地 方 信息 化 领 | 负责 等 级 保护 工作 的 部 门 间 协调 

导 小 组 办 事 机 构 


涉及 其 他 职能 部 门 管辖 范围 的 事项 ,由 有 关 职 能 部 门 依照 
其 他 有 关 职 能 部 门 | 国家 法 律 法 规 的 规定 进行 管理 


国家 管理 部 门 
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续 表 


角色 和 机 构 相关 部 门 主要 职责 


| 负责 督促 .检查 和 指导 本 行业 .本 部 门 或 者 本 地 区 信息 系统 
nl 运营 .使 用 单位 的 信息 安全 等 级 保护 工作 


(1) 负责 确定 其 信息 系统 的 安全 保护 等 级 ,有 主管 部 门 的 ， 
应 当 报 其 主管 部 门 审核 批准 ; 

(2) 根据 已 经 确定 的 安全 保护 等 级 ,到 公安 机 关 办 理 备 案 
手续 ,进行 信息 系统 安全 保护 的 规划 设计 ; 

信息 系统 运营 和 使 (3) 开展 信息 系统 安全 建设 或 者 改建 工作 ; 

用 单位 (4) 制定 、 落 实 各 项 安全 管理 制度 ,定期 对 信息 系统 的 安全 
状况 、 安 全 保护 制度 及 措施 的 落实 情况 进行 自 查 ,选择 符合 
国家 相关 规定 的 等 级 测评 机 构 ,定期 进行 等 级 测评 ; 

(5) 制定 不 同等 级 信息 安全 事件 的 响应 、 处 置 预 案 , 对 信息 

系统 的 信息 安全 事件 分 等 级 进行 应 急 处 置 

负责 协助 信息 系统 运营 、 使 用 单位 完成 等 级 保护 的 相关 工 
和 作 , 包 括 确 定 其 信息 系统 的 安全 保护 等 级 、 进 行 安全 需求 分 

析 、 安 全 总 体 规划 、 实 施 安全 建设 和 安全 改造 等 

(1) 负责 根据 信息 系统 运营 、 使 用 单位 的 委托 或 根据 国家 

管理 部 门 的 授权 ,协助 信息 系统 运营 、 使 用 单位 或 国家 管理 

部 门 ,对 已 经 完成 等 级 保护 建设 的 信息 系统 进行 等 级 测评 ; 

(2) 对 信息 安全 产品 供应 商 提 供 的 信息 安全 产品 进行 安全 

测评 

(1) 负责 开发 符合 等 级 保护 相关 要 求 的 信息 安全 产品 , 接 

受 安全 测评 ; 

(2) 按照 等 级 保护 相关 要 求 销售 信息 安全 产品 并 提供 相关 

服务 


信息 安全 服务 机 构 


信息 安全 等 级 测评 
机 构 


信息 安全 产品 供 
应 商 


《实施 指责》 介绍 了 信息 系统 安全 等 级 保护 实施 的 基本 流程 ,如 图 9-6 所 示 。 


信息 系统 定 级 
总 体 安全 规划 


安全 设计 与 实施 


9-6 信息 系统 安全 等 级 保护 实施 的 基本 流程 


在 安全 运行 与 维护 阶段 ,信息 系统 因 需 求 变 化 等 原因 导致 局 部 调整 ,而 系统 的 安全 保护 
等 级 并 未 改变 ,应 从 安全 运行 与 维护 阶段 进入 安全 设计 与 实施 阶段 ,重新 设计 .调整 和 实施 


等 级 变更 


局 部 调整 
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安全 措施 ,确保 满足 等 级 保护 的 要 求 ; 但 信息 系统 发 生 重 大 变更 导致 系统 安全 保护 等 级 变 
化 时 ,应 从 安全 运行 与 维护 阶段 进入 信息 系统 定 级 阶段 ,重新 开始 一 轮 信息 安全 等 级 保护 的 
实施 过 程 。 

在 信息 安全 等 级 保护 的 实施 过 程 中 ,如 安全 设计 与 实施 等 阶段 的 工作 还 要 参考 (信息 系 
统 等 级 保护 安全 设计 技术 要 求 (GB/T 24856 一 2009)》( 以 下 简称 《技术 要 求 》 ,该 标准 提出 
了 信息 系统 等 级 保护 安全 设计 的 技术 要 求 , 包 括 第 1 一 5 级 信息 系统 安全 保护 环境 的 安全 计 
算 环境 、 安 全 区 域 边 界 安全 通信 网 络 和 安全 管理 中 心 等 方面 的 设计 技术 要 求 , 以 及 定 级 系 
统 互联 的 设计 技术 要 求 , 明 确 了 体现 定 级 系统 安全 保护 能 力 的 整体 控制 机 制 。《 技 术 要 求 》 
用 于 指导 信息 系统 运营 使 用 单位 \ 信 息 安全 企业 信息 安全 服务 机 构 登 记 开 展 信息 系统 等 级 
保护 安全 技术 设计 。 

2) 信息 安全 等 级 保护 实施 的 特点 

《实施 指南 》 正 文 由 9 章 和 1 个 附录 构成 ,从 第 5 章 开 始 就 以 信息 系统 安全 等 级 保护 建 
设 实施 的 基本 流程 为 主要 线索 ,定义 了 信息 系统 等 级 保护 实施 的 主要 阶段 和 过 程 ,再 针对 每 
个 阶段 介绍 和 描述 主要 的 过 程 和 实施 活动 ,最 后 对 每 个 活动 说 明 实 施主 体 .主要 活动 内 容 的 
输入 输出 等 。 

这 里 以 信息 系统 定 级 阶段 为 例 介 绍 人 《实施 指南 》 对 信息 安全 等 级 保护 的 实施 工作 是 如 何 
规定 和 指导 的 ,让 读者 也 能 更 清晰 地 了 解 《实施 指南 ) 的 特点 ,如 图 9-7 所 示 。 


辆 入 主要 过 程 输出 


言 恩 系 统 立 项 文档 
言 恩 系统 建设 文档 
信息 系统 管理 文档 ” 户 ， 


信息 系统 总 体 描述 文件 
一 信息 系统 详细 描述 文件 


信息 系统 总 体 描述 文件 一 加 网 
信息 系统 详细 描述 文件 信息 系统 安全 保护 等 级 


定 级 报告 


9-7 信息 系统 定 级 流程 


【信息 系统 定 级 阶段 分 析 】 


以 下 内 容 摘自 《实施 指南 》 第 5 章 。 

5.1 信息 系统 分 析 

5.1.1 系统 识别 和 描述 

活动 目标 : 

参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 
活动 输入 : 信息 系统 的 立项 .建设 和 管理 文档 。 

活动 描述 : 

本 活动 主要 和 包括 以 下 子 活动 内 容 : 


言 息 安 全 工程 


一 人 
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a) 识 别 信 息 系 统 的 基本 信息 

略 ( 具 体 参 看 (实施 指南 ))。 

b) 识 别 信 息 系统 的 管理 框架 

略 ( 具 体 参 看 (实施 指南 》) 。 

Cc) 识别 信息 系统 的 网 络 及 设备 部 团 

略 (具体 参看 《实施 指南 ))。 

d) 识 别 信 息 系 统 的 业务 种 类 和 特性 

略 ( 具 体 参 看 《实施 指南 ))。 

e) 识 别 业务 系统 处 理 的 信息 资产 

略 ( 具 体 参 看 《实施 指南 ))。 

f) 识 别 用 户 范 围 和 用 户 类 型 

略 ( 具 体 参 看 《实施 指南 ))。 

g) 信 息 系 统 描述 

略 ( 具 体 参 看 《实施 指南 ))。 

活动 输出 : 信息 系统 总 体 描 述 文件 。 

5.1.2 信息 系统 划分 

可 以 看 到 《实施 指南 就 是 按照 阶段 .过 程 、 主 要 活动 、 子 活动 活动 的 输入 和 输出 这 样 的 
结构 来 进行 每 一 个 阶段 的 说 明 , 让 信息 系统 的 使 用 单位 对 进行 信息 安全 等 级 保护 定 级 实施 
过 程 中 需要 进行 的 各 事项 更 清晰 。 例 如 ,从 图 9-7 可 以 看 出 信息 系统 定 级 阶段 包含 2 个 过 
程 ,其 中 ,过 程 1 就 是 5. 1 信息 系统 分 析 ,5. 1. 1 系统 识别 和 描述 就 是 过 程 1 的 主要 活动 , 它 
包含 了 a) 一 g) 项 子 活动 ; 过 程 2 就 是 5.1.2 信息 系统 划分 ,其 余 定 级 实施 过 程 中 涉及 的 各 
阶段 包含 的 过 程 和 主要 活动 以 及 子 活 动 , 请 谈 者 参阅 (实施 指南 》 的 第 5 一 9 章 的 内 容 。 

5. 信息 安全 等 级 保护 的 测评 

信息 系统 建设 完成 后 ,运营 使 用 单位 或 者 其 主管 部 门 应 当选 择 符合 本 办 法 规定 条 件 的 
测评 单位 ,依据 《信息 系统 安全 等 级 保护 测评 要 求 GB/T 28448 一 2012》( 以 下 简称 《测评 要 
求 》 和 《信息 系统 安全 等 级 保护 测评 过 程 指南 GB/T 28449 一 2012》( 以 下 简称 《测评 指南 》) 
等 技术 标准 ,定期 对 信息 系统 安全 等 级 状况 开展 等 级 测评 。 第 3 级 信息 系统 应 当 每 年 至 少 
进行 一 次 等 级 测评 ,第 4 级 信息 系统 应 当 每 半年 至 少 进行 一 次 等 级 测评 ,第 5 级 信息 系统 应 
当 依 据 特 殊 安 全 需求 进行 等 级 测评 。 《测评 要 求 和 《测评 指南 ) 构 成 了 指导 开展 等 级 测评 的 
标准 规范 。 

《测评 要 求 》 从 等 级 测评 的 原则 测评 内 容 、 测 评 强度 .单元 测评 要 求 、. 整 体 测评 要 求 、 等 
级 测评 结论 的 产生 方法 等 内 容 阐述 ,用 于 规范 和 指导 测评 人 员 如 何 开展 等 级 测评 工作 。.《 过 
程 指南 ?阐述 了 信息 系统 等 级 测评 的 测评 过 程 ,明确 了 等 级 测评 的 工作 任务 、 分 析 方 法 以 及 
工作 结果 等 ,包括 测评 准备 活动 方案 编制 活动 、 现场 测 评 活 动 、 分 析 与 报告 编制 活动 ,用 于 
规范 测评 机 构 的 等 级 测评 过 程 。 

1) 信息 系统 等 级 保护 测评 的 范围 

《测评 要 求 ) 规 定 了 对 信息 系统 安全 等 级 保护 状况 进行 安全 测试 评估 的 要 求 ,包括 对 第 
1 级 信息 系统 、 第 2 级 信息 系统 .第 3 级 信息 系统 和 第 4 级 信息 系统 进行 安全 测试 评估 的 单 
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元 测评 要 求 和 信息 系统 整体 测评 要 求 。 本 标准 略 去 对 第 5 级 信息 系统 进行 单元 测评 的 具体 
内 容 要 求 ,适用 于 信息 安全 测评 服务 机 构 、 信 息 系统 的 主管 部 门 及 运营 使 用 单位 对 信息 系统 
安全 等 级 保护 状况 进行 的 安全 测试 评估 。 信 息 安 全 监管 职能 部 门 依 法 进行 的 信息 安全 等 级 
保护 监督 检查 可 以 参考 使 用 。 

2) 信息 安全 等 级 保护 测评 的 原则 

(1) 客观 性 和 公正 性 原则 。 测 评 工 作 虽 然 不 能 完全 摆脱 个 人 主张 或 判断 ,但 测评 人 员 
应 当 在 没有 偏见 和 最 小 主观 判断 情形 下 ,按照 测评 双方 相互 认可 的 测评 方案 ,基于 明确 定义 
的 测评 方法 和 过 程 , 实 施 测评 活动 。 

(2) 经 济 性 和 可 重用 性 原则 。 基 于 测评 成 本 和 工作 复杂 性 考虑 ,鼓励 测评 工作 重用 以 
前 的 测评 结果 ,包括 商业 安全 产品 测评 结果 和 信息 系统 先前 的 安全 测评 结果 。 所 有 重用 的 
结果 ,都 应 基于 这 些 结果 还 能 适用 于 目前 的 系统 ,能 反映 目前 系统 的 安全 状态 。 

(3) 可 重复 性 和 可 再 现 性 厚 则 。 无 论 谁 执行 测评 ,依照 同样 的 要 求 , 使 用 同样 的 方法 ， 
对 每 个 测评 实施 过 程 的 重复 执行 都 应 该 得 到 同样 的 测评 结果 。 可 再 现 性 体现 在 不 同 测评 者 
执行 相同 测评 的 结果 的 一 致 性 。 可 重复 性 体现 在 同一 测评 者 重复 执行 相同 测评 的 结果 的 一 
致 性 。 

(4) 符合 性 原则 。 测 评 所 产生 的 结果 应 当 是 在 对 测评 指标 的 正确 理解 下 所 取得 的 良好 
的 判断 。 测 评 实施 过 程 应 当 使 用 正确 的 方法 以 确保 其 满足 了 测评 指标 的 要 求 。 

3) 信息 安全 等 级 保护 测评 的 内 容 与 方法 

信息 系统 安全 等 级 测评 主要 包括 单元 测评 和 整体 测评 两 部 分 。 单 元 测评 是 等 级 测评 工 
作 的 基本 活动 ,每 个 单元 测评 包括 测评 指标 、 测评 实施 和 结果 判定 。 其 中 ,测评 指标 来 源 于 
《基本 要 求 》 中 的 第 5 级 目录 中 的 各 要 求 项 (人 参阅 《测评 要 求 》4. 5 节 内 容 ) ,测评 实施 描述 测 
评 过 程 中 使 用 的 具体 测评 方法 .涉及 的 测评 对 象 和 具体 测评 取证 过 程 的 要 求 , 结 果 判 定 描述 
测评 人 员 执 行 测评 实施 并 产生 各 种 测评 数据 后 ,如 何 依据 这 些 测评 数据 来 判定 被 测 系 统 是 
否 满足 测评 指标 要 求 的 原则 和 方法 。 整 体 测评 是 在 单元 测评 的 基础 上 ,通过 进一步 分 析 信 
息 系统 的 整体 安全 性 ,对 信息 系统 实施 的 综合 安全 测评 。 整 体 测评 主要 包括 安全 控制 点 间 、 
层面 间 和 区 域 则 相互 作用 的 安全 测评 以 及 系统 结构 的 安全 测评 等 。 整 体 测评 需要 与 信息 系 
统 的 实际 情况 相 结 合 ,因此 全 面 地 给 出 整体 测评 要 求 的 全 部 内 容 、 具 体 实施 过 程 和 明确 的 结 
果 判 定 方法 是 非常 困难 的 ,测评 人 员 应 根据 被 测 系 统 的 实际 情况 ,结合 本 标准 的 要 求 ,实施 
整体 测评 。 

测评 方法 指 测评 人 员 在 测评 实施 过 程 中 所 使 用 的 方法 ,主要 包括 访谈 检查 和 测试 。 其 
中 ,访谈 是 指 测 评 人 员 通 过 引导 信息 系统 相关 人 员 进 行 有 目的 的 (有 针对 性 的 ) 交 流 , 以 帮助 
测评 人 员 理 解 、 分 析 或 取得 证 据 的 过 程 ; 检查 是 指 测评 人 员 通 过 对 测评 对 象 ( 如 管理 制度 、 
操作 记录 、 安 全 配置 等 ) 进 行 观 察 . 查验、 分 析 , 以 帮助 测评 人 员 理 解 、 分 析 或 取得 证 据 的 过 
程 ; 测试 是 测评 人 员 使 用 预定 的 方法 /工具 ,使 测评 对 象 产 生 特 定 的 行为 ,通过 查看 和 分 析 
结果 以 帮助 测评 人 员 获 取证 据 的 过 程 。 测 评 对 象 指 测评 实施 的 对 象 , 即 测 评 过 程 中 涉及 的 
信息 系统 的 相关 人 员 、 制 度 文 档 ` 各 类 设备 及 其 安全 配置 等 。 

4) 信息 安全 等 级 测评 的 力度 

测评 力度 是 在 测评 过 程 中 实施 测评 工作 的 力度 ,反映 测评 的 广度 和 深度 ,体现 为 测评 工 
作 的 实际 投入 程度 。 测 评 广 度 越 大 ,测评 实施 的 范围 越 大 ,测评 实施 包含 的 测评 对 象 就 越 
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多 ; 测评 深度 越 深 , 越 需要 在 细节 上 展开 ,测评 就 越 严 格 , 因 此 就 越 需要 更 多 的 投入 。 投 入 
越 多 ,测评 力度 就 越 强 ,测评 就 越 有 保证 。 测 评 的 广度 和 深度 落实 到 访谈 、 检 查 和 测试 三 种 
不 同 的 测评 方法 上 ,能 体现 出 测评 实施 过 程 中 访谈 、 检 查 和 测试 的 投入 程度 的 不 同 , 如 
表 9-7 所 示 。 
表 9-7 信息 安全 等 级 测试 力度 
信息 安全 等 级 
”第 1 级 第? 级 ”第 3 级 第 4 级 


种 类 和 数量 都 较 少 | 种 类 和 数量 都 较 多 | 材 关 
-| 2 较 全 面 
种 类 和 数量 都 较 少 | 种 类 和 数量 都 较 多 | 覆 关 


“| 深度 | 简要 | 人 Em 


种 类 、 数 量 和 范围 上 EE 数量 和 范围 上 
广度 | 抽样 ,种 类 和 数量 都 | 抽样 ,种 类 和 数量 都 se ee 
较 少 ,范围 小 较 多 ,范围 大 
功能 测试 /性 能 测 | 功能 测试 /性 能 测试 ， 
功能 测试 /性 能 测试 | 功能 测试 /性 能 测试 ei eet 


信息 安全 等 级 保护 要 求 不 同安 全 保护 等 级 的 信息 系统 应 具有 不 同 的 安全 保护 能 力 , 满 
足 相 应 等 级 的 保护 要 求 。 为 了 检验 不 同安 全 保护 等 级 的 信息 系统 是 否 具 有 相应 等 级 的 安全 
保护 能 力 . 是否 满足 相应 等 级 的 保护 要 求 , 需 要 实施 与 其 安全 保护 等 级 相 适 应 的 测评 ,付出 
相应 的 工作 投入 ,达到 应 有 的 测评 力度 。 第 1 一 4 级 信息 系统 的 测评 力度 反映 在 访谈 、 检 查 
和 测试 等 3 种 基本 测评 方法 的 测评 广度 和 深度 上 ,落实 在 不 同 单元 测评 中 具体 的 测评 实 
施 上 。 

5) 信息 安全 等 级 测评 结果 的 重用 

在 信息 系统 中 ,有 些 安全 控制 可 以 不 依赖 于 其 所 在 的 地 点 便 可 测评 , 即 在 其 部 署 到 运行 
环境 之 前 便 可 以 接受 安全 测评 。 一 些 商 用 安全 产品 的 测评 就 属于 这 种 安全 测评 。 如 果 一 个 
信息 系统 部 署 和 安装 在 多 个 地 点 , 且 系 统 具 有 一 组 共同 的 软件 .硬件 .固件 等 组 成 部 分 ,对 这 
些 安全 控制 的 测评 可 以 集中 在 一 个 集成 测试 环境 中 实施 ,如 果 没 有 这 种 环境 , 则 可 以 在 其 中 
一 个 预定 的 运行 地 点 实施 ,在 其 他 运行 地 点 的 安全 测评 便 可 重用 此 测评 结果 。 

在 信息 系统 所 有 安全 控制 中 ,有 一 些 安全 控制 与 它 所 处 于 的 运行 环境 紧密 相关 (如 与 人 
员 或 物理 有 关 的 某 些 安全 控制 ) ,对 其 测评 必须 在 分 发 到 相应 运行 环境 中 才能 进行 。 如 果 多 
个 信息 系统 处 在 地 域 临 近 的 封闭 场地 内 ,系统 所 属 的 机 构 在 同一 个 领导 层 管理 之 下 ,对 这 些 
安全 控制 在 多 个 信息 系统 中 进行 重复 测评 ,可 能 是 对 有 效 资源 的 一 种 浪费 。 因 此 ,可 以 在 一 
个 选 定 的 信息 系统 中 进行 测评 ,其 他 相关 信息 系统 可 以 直接 重用 这 些 测评 结果 。 

6) 信息 安全 等 级 保护 测评 的 流程 

信息 安全 等 级 保护 测评 实施 的 流程 包括 4 个 过 程 。 

(1) 测评 准备 。 进 行 项 目 启动 .信息 收集 和 分 析 . 工 具 和 表单 准备 。 

(2) 方案 的 编制 。 测 评 对 象 确定 .测评 指标 确定 测试 工 具 接 和 人 点 确定 .测评 内 容 确 定 、 


测评 强度 
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测评 实施 手册 开发 ,测评 方案 编制 。 

(3) 现场 测评 。 现 场 测评 准备 (一 般 包括 访谈 .文档 审查 .配置 检查 .工具 测试 和 实地 察 
看 ) ,现场 测评 和 结果 记录 、 结 果 确 认 和 资料 归还 。 

(4) 分 析 与 报告 编制 。 单 项 测评 结果 判定 .单元 测评 结果 判定 .整体 测评 、 风险 分 析 、 等 
级 测评 结论 形成 ,测评 报告 编制 。 


9.2 信息 安全 法 律 法 规 及 道德 规范 


9.2.1 信息 安全 涉及 的 相关 法 律 问题 
1. 计算 机 犯罪 


1) 犯罪 

《中 华人 民 共 和 国 刑法 ) 第 二 童 第 十 三 条 对 犯罪 的 定义 是 : 一 切 危 害 国家 主权 、 人 
A AA RE 
秩序 ,侵犯 国有 财产 或 者 劳动 群众 集体 所 有 的 财产 ,侵犯 公民 私人 所 有 的 财产 ,侵犯 公民 的 
人 号 权利 .民主 权利 和 其 他 权利 ,以 及 其 他 危害 社会 的 行为 ,依照 法 律 应 当 受 刑罚 处 罚 的 ,都 
是 犯罪 。 但 是 刑法 第 二 章 第 十 三 条 和 第 十 六 条 又 规定 下 面 的 两 种 情况 不 认为 是 犯罪 : 

(1) 情节 显著 轻微 危害 不 大 的 ,不 认为 是 犯罪 ; 

(2) 行为 在 客观 上 虽然 造成 了 损害 结果 ,但 是 不 是 出 于 故意 或 者 过 失 , 而 是 由 于 不 能 抗 
拒 或 者 不 能 预见 的 原因 所 引起 的 ,不 是 犯罪 。 

2) 计算 机 犯罪 的 相关 法 律 条 款 

《中 华人 民 共 和 国 刑法 》 中 关于 计算 机 犯罪 的 规定 有 下 面 3 个 条 款 。 

第 二 百 八 十 五 条 违反 国家 规定 ,侵入 国家 事务 .国防 建设 .尖端 科学 技术 领域 的 计算 
机 信息 系统 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 。 

违反 国家 规定 ,侵入 前 款 规 定 以 外 的 计算 机 信息 系统 或 者 采用 其 他 技术 手段 ,获取 该 计 
算 机 信息 系统 中 存储 、 人 处理 或 者 传输 的 数据 ,或 者 对 该 计算 机 信息 系统 实施 非法 控制 ,情节 
严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ; 情节 特别 严重 的 ,处 三 年 以 上 
七 年 以 下 有 期 徒刑 ,并 处 罚金 。 

提供 专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 `. 工具, 或 者 明知 他 人 实施 侵入 , 非 
法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 为 其 提供 程序 .工具 ,情节 严重 的 ,依照 前 款 的 规 
定 处 罚 。 

第 二 百 八 十 六 条 违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 修改. 增加、 干扰 ， 
造成 计算 机 信息 系统 不 能 正常 运行 ,后 果 严 重 的 ,处 五 年 以 下 有 期 徒刑 或 者 拘役 ; 后 果 特 别 
严重 的 ,处 五 年 以 上 有 期 徒刑 。 

违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 、 增 加 的 操作 ,后 果 严 重 的 ,依照 前 款 的 规定 处 罚 。 

故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,后 果 严 重 的 ,依照 
第 一 款 的 规定 处 罚 。 

第 二 百 八 十 七 条 ”利用 计算 机 实施 金融 诈骗 、 资 甸 、 贪 污 、 挪 用 公款 、 甸 取 国家 秘密 或 者 
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其 他 犯罪 的 ,依照 本 法 有 关 规 定 定罪 处 罚 。 

以 上 三 条 分 别 对 应 非法 侵入 计算 机 信息 系统 罪 、 破 坏 计 算 机 信息 系统 罪 和 利用 计算 机 
犯罪 等 三 种 计算 机 犯罪 的 表现 形式 。 

从 大 的 犯罪 分 类 来 看 ,计算 机 犯罪 属于 妨害 社会 管理 秩序 罪 中 的 扰乱 公共 秩序 罪 。 从 
犯罪 的 实质 来 看 ,刑法 第 二 百 八 十 五 和 二 百 八 十 六 条 所 规定 的 犯罪 是 狭义 的 计算 机 犯罪 或 
单纯 的 计算 机 犯罪 ,而 刑法 第 二 百 八 十 七 条 则 属于 广义 的 计算 机 犯罪 。 

3) 计算 机 犯罪 的 常见 方法 

(1) 以 合法 手段 为 掩护 ,查询 信息 系统 中 不 允许 访问 的 文件 ,或 者 侵入 重要 领域 的 计算 
机 信息 系统 。 

(2) 利用 技术 手段 (包括 利用 网 页 与 邮件 、 破 坏账 号 和 密码 .设置 木马 程序 、 使 用 病毒 程 
序 、 利 用 系统 漏洞 .程序 缺陷 和 网 络 缺 陷 等 ) 非 法 侵入 重要 的 计算 机 信息 系统 ,破坏 或 禄 取 计 
算 机 信息 系统 中 的 重要 数据 或 程序 文件 ,甚至 删除 数据 文件 或 者 破坏 系统 功能 ,直至 使 整个 
系统 处 于 瘫痪 。 

(3) 在 数据 传输 或 者 输入 的 过 程 中 ,对 数据 的 内 容 进 行 修改 ,干扰 计算 机 信息 系统 。 

(4) 未 经 计算 机 软件 著作 权 人 授权 ,复制 、 发 行 他 人 的 软件 作品 ,或 制作 .传播 计算 机 病 
毒 ,或 制作 传播 有 害 信 息 等 。 


【计算 机 犯罪 案例 】 


2013 年 ,辽宁 省 公安 机 关 网 安 部 门 成 功 打 掉 一 个 非法 入 侵 韩 国 网 站 盗窃 韩国 网 民 银 行 
存款 的 特大 团伙 , 共 抓 获 犯 罪 嫌疑 人 34 名 ,扣押 涉案 资金 200 余万元 ,车 辆 16 台 。 

2013 年 1 月 ,辽宁 省 公安 机 关 网 安 部 门 在 工作 中 发 现 , 网 上 有 人 发 布 “高 价 收购 韩国 银 
行 资料 ”等 信息 。 经 查 , 自 2012 年 起 ,黑龙 江 省 网 民 王 某 龙 ( 男 ,26 岁 , 黑 龙 江 人 ) 纠 集 他 人 
在 辽宁 省 丹东 成 立 游戏 工作 室 , 通 过 互联 网 买卖 韩国 游戏 利和 韩国 银行 账户 信息 件 利 ,其 贩 
卖 的 韩国 游戏 币 主 要 来 自 王 某 ( 男 ,31 岁 ,贵州 人 )、 孙 某 ( 男 ,27 岁 , 黑 龙 江 人 ) 犯 罪 团伙 。 进 
一 步调 查 发 现 , 王 某 , 孙 某 犯 罪 团 伙 自 2012 年 起 从 事 盗 窃 韩 国 网 民 银 行 存 款 犯 罪 活动 。 其 
犯罪 过 程 是 : 首先 由 王 某 联系 黑客 入 侵 韩 国 网 站 植 入 木马 , 当 韩 国 网 民 浏 览 被 入 侵 网 站 时 ， 
木马 将 自动 植 入 网 民 使 用 的 计算 机 ,并 窃取 网 民 的 网 银 账 号 和 密码 ; 然后 ,再 由 孙 某 登录 人 受 
害 人 网 银 , 将 卡 内 存款 直接 转移 至 洗钱 团伙 提供 的 韩国 银行 卡 并 通过 ATM 取现 ,或 者 通过 
购买 游戏 点 卡 、 充值 卡 等 方式 变相 提现 。 据 统计 , 仅 半 年 时 间 , 该 犯罪 团伙 就 先后 对 100 余 
家 韩国 网 站 实施 入 侵 , 受 到 木马 感染 的 计算 机 达 千 余 台 ,盗窃 韩国 网 民 银 行 账号 密码 4000 
余 组 ,盗窃 资金 折合 人 民 币 1000 余万元 。 

2. 民事 问题 

在 计算 机 及 网 络 的 使 用 等 方面 ,不仅 存 在 犯罪 问题 ,也 存在 民事 诉讼 问题 ,任何 人 都 可 
以 对 任何 人 ,任何 事 提起 民事 诉讼 。 网 络 管理 方面 的 漏洞 、 人 为 的 误 操 作 , 人们 在 使 用 计算 
机 和 网 络 时 有 意 或 无 意 地 侵权 ,都 可 能 造成 信息 安全 相关 的 民事 问题 。 下 面 就 通过 一 个 简 
单 的 案例 来 说 明 信 息 安全 方面 的 民事 问题 。 


【民事 问题 案例 】 
本 案 系 因 持 卡 人 泄露 手机 动态 密码 导致 的 电信 诈骗 ,与 其 他 同类 电信 诈骗 引发 的 信用 
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卡 纠 纷 案件 一 样 , 本 案 的 核心 焦点 是 持 卡 人 与 发 卡 行 的 过 错 划 分 问题 。 

具体 案情 如 下 。 

李 某 系 务 农 农 民 ,2014 年 办 理 了 一 张 中 国 银行 的 信用 卡 , 人 额度 为 33 000 元 。2015 年 12 
月 9 日 收 到 04006695566 的 银行 客服 电话 ,电话 告知 : 尊 孝 的 李 先 生 ,您 在 我 行 办 理 了 一 张 
信用 额度 的 33 000 元 的 信用 卡 , 结 合 您 的 用 卡 情 况 可 以 为 您 提升 信用 卡 额 度 。 请 提供 您 的 
卡号 和 身份 证 号 以 核对 您 的 身份 。 李 某 说 出 后 “客服 ”继续 告知 : 核对 成 功 , 系 统 现在 为 您 
提升 额度 ,您 会 收 到 验证 码 , 请 提供 验证 码 我 们 为 您 操作 。 李 某 告 知 其 收 到 的 验证 码 后 ,“ 客 
服 ” 提 出 由 于 系统 较 慢 ,提升 的 额度 较 大 ,程序 较为 复杂 ,建议 删除 已 经 收 到 的 验证 码 , 耐 心 
等 待 。 

就 这 样 , 车 某 按 要 求 告 知 了 多 个 验证 码 , 并 在 “客服 ?指示 下 删除 了 短信 ,其 实 这 些 短信 
包括 验证 码 短 信 及 交易 信息 。 就 这 样 从 12 月 9 日 至 12 月 14 日 , 李 某 连续 接 到 这 个 电话 ， 
为 其 提升 信用 卡 额度 , 李 某 均 向 “客服 ”告知 了 验证 码 。 直 至 12 月 14 日 , 李 某 回 拨 银行 客服 
电话 , 才 知 自己 接 到 的 电话 并 非 银行 客服 ,而 是 电信 诈骗 分 子 利 用 任意 显示 号 码 打 来 的 假 客 
服 电话 。 自 己 信用 卡 的 资金 已 经 被 犯罪 分 子 分 33 笔 通过 第 三 方 支付 平台 支付 。 李 某 随即 
向 银行 提出 质疑 ,冻结 该 卡 , 并 向 当地 公安 机 关 报 案 。 

李 某 认为 诈骗 分 子 精准 知道 自己 姓名 及 在 中 国 银 行 办 理 了 33 000 元 的 信用 卡 , 并 且 其 
接 到 的 0406695566 电话 与 被 告 客服 电话 406695566 极其 相似 ,骗子 要 求 其 提供 身份 证 号 及 
卡号 核对 身份 的 要 求 也 是 各 家 银行 日 第 管理 中 经 常会 使 用 的 ,所 以 李 某 无 法 识别 骗子 的 身 
份 。 最 重要 的 是 ,中 国 银行 在 李 某 办 卡 及 用 卡 时 均 未 向 其 进行 手机 验证 码 可 以 交易 的 风险 
提示 ,银行 在 未 经 李 某 同意 的 情况 下 开通 第 三 方 支付 , 才 导 致 李 某 被 骗 ,银行 存在 严重 过 错 ， 
应 该 赔偿 其 资金 损失 。 李 某 遂 将 银行 起 诉 到 法 院 , 要 求 银行 赔偿 其 全 部 资金 损失 。 

最 后 法 院 判 决 如 下 : 

(1) 认为 原告 所 持 信 用 卡 发 生 支 出 交易 产生 的 资金 损失 应 按照 双方 责任 进行 分 担 。 

(2) 原告 在 接 到 非 被 告 客服 电话 后 ,未 谨慎 于 别 即 按照 对 方 要 求 提供 校 验 码 , 是 产生 他 
人 利用 第 三 方 平台 发 生 交 易 的 主要 原因 ,原告 负 有 主要 过 错 ,应 当 对 损失 承担 70% 的 主要 
责任 。 

(3) 被 告 在 办 理 信用 卡 时 未 告知 原告 持 卡 风险 ,在 发 送 非 汇款 、 付 款 等 交易 校 验 码 时 未 
尽 到 风险 提示 义务 , 故 被 告 在 开办 信用 卡 及 服务 中 也 存在 瑕 疫 , 负 有 次 要 过 错 , 应 对 损失 承 
担 30% 的 次 要 责任 。 

3. 隐私 问题 

隐私 问题 是 信息 安全 和 保密 中 所 涉及 的 一 个 非常 重要 的 问题 ,隐私 问题 在 个 人 组织 中 
都 存在 。 信 息 安全 隐私 越 来 越 受到 人 们 的 关注 ,利用 法 律 手段 有 效 保护 组 织 和 个 人 的 隐私 
具有 非 稼 重要 的 意义 。 下 面 通过 一 个 简单 的 案例 来 说 明 信 息 安全 方面 的 隐私 问题 。 


【隐私 问题 案例 1】 


英国 一 位 21 岁 的 黑客 ,由 于 前 女友 移 情 别 恋 , 愤 而 将 与 前 女友 的 照片 和 录像 "大 白 于 天 
下 ”, 张 贴 在 被 其 黑 掉 的 站 点 上 ,结果 因此 被 法 院 判 了 五 个 月 的 牢狱 。 这 是 属于 个 人 隐私 的 


案例 。 
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【隐私 问题 案例 2】 


这 不 是 个 人 隐私 问题 ,涉及 统计 局 CPI 数据 (国家 宏观 经 济 数 据 ) 泄 露 事 件 ,是 属于 组 
织 隐私 数据 的 问题 。 

具体 案情 如 下 : 

在 北京 市 检察 机 关 2011 年 “举报 宣传 周 ” 活 动 新 闻 发 布 会 上 ,市 检索 院 反 渎职 侵权 局 局 
长 张 华 伟 披 露 , 北 京 检 方 已 介入 CPI 数据 泄露 一 案 。 目 前 ,包括 国家 统计 局 办 公 室 一 名 秘 
书 在 内 的 5 名 相关 人 员 均 已 被 立案 侦查 。 

新 闻 发 布 会 上 ,记者 提问 CPI 数据 被 泄露 一 案 的 最 新 进展 ,市 检察 院 反 渎职 侵权 局 局 
长 张 华 伟 就 此 介绍 称 , 对 于 媒体 披露 的 CPI 数据 泄露 问题 ,目前 泄露 国家 秘密 的 问题 比较 
突出 。 对 于 这 起 案件 ,检察 机 关 已 会 同 国 家 保密 部 门 进行 调 查 , 目 前 已 经 立案 5 件 ,涉及 
5 人 。 

张 华 伟 随后 解释 称 , 由 于 涉案 的 5 人 分 别 来 自 不 同 部 门 , 因 此 立 了 5 个 案子 。 这 其 中 就 
包括 国家 统计 局 新 闻 发 言 人 盛 来 运 此 前 披露 的 “国家 统计 局 办 公 室 一 秘书 涉嫌 泄露 国家 秋 

有 媒体 称 ,今年 3 一 4 月 份 ,国家 统计 局 办 公 室 一 名 秘书 与 央行 研究 局 宏观 经 济 研究 处 
一 副 研 究 员 因 涉 嫌 数 据 泄密 被 有 关 部 门 带 走 调查 。 而 今年 6 月 8 日 ,路 透 社 再 次 抢先 发 布 
我 国 经 济 数据 ,预测 中 国 5 月 份 CPI 较 上 年 同期 上 涨 5.42% ,将 追 平 3 月 份 创 下 的 32 个 月 
高 位 ; 彭 博 社 也 发 布 经 济 学 家 对 宏观 数据 的 预测 值 称 ,5 月 份 的 中 国 CPI 同比 涨幅 为 
5.5% ,这 与 国家 统计 局 官方 发 布 的 中 国 5 月 CPI 相 关 数 据 一 致 。 

据 统计 ,2008 年 以 来 ,路 透 社 已 累计 7 次 精准 地 “ 蒙 对 ”了 我 国 的 月 度 CPI 数据。 提前 
泄露 的 数据 信息 ,可 能 意味 着 可 观 的 经 济 利益 。 多 位 业界 分 析 人 士 在 接受 媒体 采访 时 都 认 
为 ,对 一 些 经 济 机 构 来 说 ,提前 掌握 宏观 经 济 数据 ,有 利于 提前 采取 行动 规避 风险 或 谋取 利 
益 , 尤 其 是 一 些 和 CPI 联系 紧密 的 金融 产品 , 受 CPI 数据 影响 极 大 ,提前 获知 CPI 数据 尤为 
重要 。 另 外 ,从 宏观 层面 上 来 说 ,CPI 数据 屡屡 提前 泄露 ,还 会 影响 国家 的 经 济 安 全 。 
9.2.2 我 国 的 信息 安全 法 律 规范 

1. 我 国信 息 安全 法 律 规范 体系 

1) 法 律 

法 律 就 是 由 社会 成 员 建 立 的 以 平衡 个 体 自 主权 利 的 一 套 规则 。 法 律 大 部 分 来 自 一 种 文 
化 道德 规范 , 它 定 义 了 一 些 被 社会 认同 的 ( 且 符 合 社 会 成 员 广 泛 接受 的 法 则 ) 的 行为 。 

2) 法 律 规范 

法 律 规范 是 由 国家 制定 或 者 认可 ,并 由 国家 强制 力 保证 实施 的 规范 ,因而 具有 国家 意志 
和 国家 权力 的 属性 ; 法 律 规范 是 以 规范 法 律 权 力 和 法 律 义务 为 内 容 , 是 具有 完整 逻辑 结构 
的 特殊 行为 规范 ; 法 律 规范 具有 普遍 约束 力 , 并 对 任何 在 效率 范围 内 的 主题 的 行为 指导 和 
评价 ,使 用 同一 标准 。 

所 以 ,法 律 规范 是 由 国家 强制 力 来 保证 实施 的 ,对 我 国 所 有 公民 具有 约束 力 , 任 何人 都 
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3) 信息 安全 法 律 规范 体系 

信息 安全 法 律 规范 指 用 于 规范 信息 系统 或 与 信息 系统 相关 行为 的 法 律 法 规 。 信 息 安 全 
法 律 法 规 具有 命令 性 、 禁 止 性 和 强制 性 。 命 令 性 和 禁止 性 要 求法 律 关系 主体 应 当 从 事 一 害 
行为 的 规范 ,其 规定 的 行为 规则 的 内 容 是 确定 的 ,不 允许 主体 一 方 或 双方 任意 改变 或 违反 ， 
具体 强制 性 。 如 果 不 执行 ,就 要 受到 一 定 的 法 律 制裁 。 

我 国 在 信息 安全 法 律 规范 方面 采取 多 级 立法 ,主要 通过 三 大 体系 给 予 信息 安全 保障 ， 
图 9-8 是 我 国信 息 安 全 法 律 规 范 体系 的 一 个 框架 图 。 


信息 安全 法 律 规范 体系 


基本 法 律 体系 行政 法 规 体系 强制 性 技术 标准 体系 


刑法 区 号 
ee 地 方 政 府 规章 
CE 各 部 委 的 信息 安全 规章 
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(1) 基本 法 律 体 系 。 

国家 在 许多 基本 法 律 中 都 设计 了 用 于 保护 信息 安全 的 条 球 , 如 《宪法 ) 第 四 十 条 《刑法 》 
(部 分 条 款 )《 国 家 安全 法 (部 分 条 款 )《 保 守 国 家 秘密 法 ) 等 都 做 出 了 相关 的 规定 。 

(2) 行政 法 规 体系 。 

政府 制定 了 一 系列 法 规 、 规 章 , 具 体 强 化 了 对 信息 安全 保护 的 力度 。 如 《计算 机 信息 系 
统 安全 保护 条 例 闪 互联 网 信息 服务 管理 办 法 ) 等 行政 法 规 ,公安 部 (安全 专用 产品 等 )、 原 信 
产 部 (互联 网 域名 等 ) 等 各 部 委 规 草 ,《 北 京 市 信息 化 促进 条 例 兴 辽宁 省 计算 机 信息 系统 安全 
管理 条 例 》 等 地 方 性 法 规 ,《 北 京 市 公共 服务 网 络 与 信息 系统 安全 管理 规定 兴 上 海 市 公共 信 
乱 系 统 安 全 测评 管理 办 法 ) 等 地 方 政 府 规章 。 

(3) 强制 性 技术 标准 体系 。 

国家 颁布 了 一 系列 技术 标准 ,并 且 是 强制 性 执行 ,从 技术 上 规范 了 对 信息 安全 的 保护 。 
这 些 标准 的 制定 和 内 容 在 9. 1 节 已 经 做 了 较 详 细 的 介绍 。 

2. 信息 安全 法 律 规范 的 法 律 地 位 

保障 信息 安全 无 论 对 一 个 国家 还 是 对 一 个 组 织 而 言 都 是 一 个 复杂 的 系统 工程 ,需要 多 
管 齐 下 ,综合 治理 。 目 前 普遍 认为 ,信息 安全 技术 、 法 律 法 规 和 信息 安全 标准 是 保障 信息 安 
全 的 三 大 支柱 。 

国家 地方 以 及 相关 部 门 针对 信息 安全 的 需求 ,制定 与 信息 安全 相关 的 法 律 法 规 ， 
从 法 律 的 层面 来 规范 人 们 的 行为 ,使 信息 安全 工作 有 法 可 依 , 使 相关 违法 犯罪 行为 能 
得 到 处 到 ,促使 组 织 和 个 人 依法 制作 、 发 布 、 传播 和 使 用 信息 ,从 而 达到 保障 信息 安全 
的 目的 。 
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(1) 信息 安全 立法 的 必要 性 和 紧迫 性 。 

Q 没有 信息 安全 ,就 没有 完全 意义 上 的 国家 。 

Q 国家 对 信息 资源 的 文 配 和 控制 能 力 ,将 决定 国家 的 主权 和 命运 。 

G) 对 信息 的 强 有 力 控 制 是 在 世界 格局 中 信息 战 能 获胜 的 保证 。 

@ 信息 安全 保障 能 力 已 经 是 21 世纪 综合 国力 经济 欧 争 力 和 生成 发 展 能 力 的 重要 组 
成 部 分 。 

(2) 信息 安全 法 律 规范 的 作用 。 

Q 指引 作用 。 法 律 作 为 一 种 行为 规范 ,为 人 们 的 某 种 行为 提供 了 一 种 模式 ,指引 人 们 
可 以 这 样 行为 .必须 这 样 行为 或 不 得 这 样 行为 。 

@ 评价 作用 。 用 法 律 判断 、 衡 量 人 们 的 行为 是 否 是 合法 或 违法 以 及 违法 性 质 和 程序 的 
作用 。 

@) 预测 作用 。 当 事 人 可 以 根据 法 律 预先 估计 到 其 将 如 何 行为 以 及 某 行为 在 法 律 上 的 
后 果 。 
@ 教育 作用 。 能 通过 法 律 的 实施 对 人 们 将 来 的 行为 产生 一 些 影响 。 
@ 强制 作用 。 法 律 对 违法 行为 具有 和 制裁、 惩罚 的 作用 。 


9.2.3 我 国 的 信息 安全 法 律 法 规 


目前 ,我 国 已 建成 起 了 基本 的 信息 安全 法 律 法 规 体系 ,根据 党 中 央 、 国 务 院 有 关 文 件 精 
神 ,起 草 并 制定 信息 安全 的 相关 法 律 是 建立 我 国信 息 安 全 监督 管理 长 效 机 制 的 重要 保 隐 , 但 
随 着 信息 安全 形势 的 发 展 ,信息 安全 立法 的 任务 还 非常 艰巨 ,许多 相关 法 规 还 在 进一步 完 
善 。 本 书 就 介绍 部 分 我 国 重要 的 信息 安全 的 法 律 法 规 。 

1.《 宪 法 ) 第 二 章 公 民 的 基本 权利 和 义务 第 四 十 条 

宪法 是 依法 治国 的 根本 大 法 ,是 我 国 一 切 法 律 的 基础 依据 。 因 此 ,信息 化 建设 和 信息 安 
全 部 要 从 根本 上 遵循 宪法 。 

宪法 中 同 信息 安全 相关 是 第 二 章 公 民 的 基本 权利 和 义务 第 四 十 条 ,规定 公民 的 通信 和 目 
由 和 通信 秘密 受 法 律 的 保护 。 除 因 国家 安全 或 者 追查 刑事 犯罪 的 需要 ,由 公安 机 关 或 者 检 
察 机 关 依 照 法 律 规定 的 程序 对 通信 进行 检查 外 ,任何 组 织 或 者 个 人 不 得 以 任何 理由 侵犯 公 
民 的 通信 自由 和 通信 秘密 。 

2. 中 华人 民 共 和 国电 子 签名 法 

《中 华人 民 共 和 国电 子 签名 法 ) 是 为 了 规范 电子 签名 行为 ,确立 电子 签名 的 法 律 效力 , 维 
护 有 关 各 方 的 合法 权益 而 制定 的 法 律 。 

《中 华人 民 共 和 国电 子 签名 法 》 由 中 华人 民 共 和 国 第 十 届 全 国人 民 代 表 大 会 常务 委员 会 
第 十 一 次 会 议 于 2004 年 8 月 28 日 通过 ,日 2005 年 4 月 1 日 起 施行 。 当 前 版 本 为 2015 年 4 
月 24 日 第 十 二 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 四 次 会 议 修订 。 具 体内 容 可 参考 《中 华 
人 民 共 和 国电 子 签名 法 (2015 年 修订 )》 的 原文 。 

3. 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 


《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 是 为 了 保护 计算 机 信息 系统 的 安全 ， 
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促进 计算 机 的 应 用 和 发 展 , 保 障 社会 主义 现代 化 建设 的 顺利 进行 而 制定 的 法 规 ,1994 年 2 月 
18 日 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 由 中 华人 民 共 和 国 国 务 院 令 第 147 
号 发 布 ,根据 2011 年 1 月 8 日 《国务院 关 于 废止 和 修改 部 分 行政 法 规 的 决定 ) 修 订 , 自 2011 
年 1 月 8 日 起 实施 , 共 五 草 三 十 一 条 ,具体 内 容 可 参考 4 中 华人 民 共 和 国 计 算 机 信息 系统 安 
全 保护 条 例 》 的 原文 。 


【破坏 计算 机 信息 系统 案例 】 


被 告 人 李 X 久 为 牟取 非法 利益 ,以 修改 大 型 互联 网 网 站 域名 解析 指向 的 方法 ,劫持 互联 
网 流量 访问 相关 赌博 网 站 ,获取 境外 赌博 网 站 广告 推广 流量 提成 ,导致 某 知 名 网 站 不 能 正常 
运行 ,访问 量 锐 减 。 

上 海 市 徐汇 区 人 民 检 察 院 提起 公诉 后 ,人 民法 院 认 定 李 XX 的 行为 构成 破坏 计算 机 信 
息 系统 罪 , 结 合 量刑 情节 ,判处 李 XX 有 期 徒刑 五 年 。 该 案 的 起 诉 和 判决 ,明确 了 修改 域名 
解析 服务 器 指向 、 强 制 用 户 偏离 目标 网 站 或 网 页 进入 指定 网 站 或 网 页 ,造成 计算 机 信息 系统 
不 能 正常 运行 的 域名 劫持 行为 ,属于 破坏 计算 机 信息 系统 。 

4. 计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 

《计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》 是 由 中 华人 民 共 和 国 国 务 院 于 1997 年 
12 月 11 日 批准 ,公安 部 于 1997 年 12 月 16 日 公安 部 令 ( 第 33 号) 发 布 ,于 1997 年 12 月 30 
日 起 实施 ,根据 2011 年 1 月 8 日 (国务 院 关 于 废止 和 修改 部 分 行政 法 规 的 决定 ) 修 订 , 共 五 
章 二 十 五 条 ,具体 内 容 可 参考 《计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 ) 的 原文 。 


9.2.4 信息 安全 从 业 人 员 的 道德 规范 


从 信息 安全 问题 的 发 展 历 史 可 以 发 现 , 很 多 重大 信息 安全 事件 的 始作俑者 与 普通 的 骏 
力 刑事 罪犯 是 有 一 定 差 别 的 。 他 们 往往 有 着 较 好 的 教育 背景 ,但 却 因为 缺乏 道德 的 约束 而 
利用 自己 的 知识 和 技术 来 实施 犯罪 。 所 以 教育 体系 和 整个 社会 在 培养 知识 人 才 的 同时 应 该 
加 强 伦理 道德 的 教育 ,提倡 良好 的 信息 使 用 规范 和 网 络 交 流 礼仪 ,引导 人 们 将 信息 技术 知识 
都 运用 到 对 社会 有 益 的 工作 中 去 。 

增强 职业 道德 规范 是 计算 机 信息 安全 中 人 员 安 全 的 一 个 重要 内 容 , 是 法 律 行 为 规范 的 
补充 ,是 非 强 制 性 的 自律 要 求 ,其 目的 是 用 来 规范 各 类 信息 的 使 用 。 所 以 ,作为 信息 安全 从 
业 人 员 必 须要 保障 因特网 的 运行 安全 ; 维护 国家 安全 和 社会 稳定 ; 维护 社会 主义 市 场 经 济 
秩序 和 社会 管理 秩序 ; 保护 个 人 、 法 人 和 其 他 组 织 的 人 身 、 财 产 等 合法 权利 。 

1. CISP 职业 道德 准则 

注册 信息 安全 专业 人 员 (CISP) 都 必须 严格 履行 其 职责 并 遵守 以 下 道德 规范 。 

1) 维护 国家 、 社 会 和 公众 的 信息 安全 

(1) 自觉 维护 国家 信息 安全 ,拒绝 并 抵制 泄露 国家 秘密 和 破坏 国家 信息 基础 设施 的 
行为 。 

(2) 目 和 觉 维护 网 络 社会 安全 ,拒绝 并 抵制 通过 计算 机 网 络 系统 谋取 非法 利益 和 破坏 社 
会 和 谐 的 行为 。 
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(3) 自觉 维护 公众 信息 安全 ,拒绝 并 抵制 通过 计算 机 网 络 系统 侵犯 公众 合法 权益 和 泄 
露 个 人 隐私 的 行为 。 

2) 诚实 守信 , 遵 纪 守法 

(1) 不 通过 计算 机 网 络 系统 进行 造 证、 欺诈. 诽谤 .弄虚作假 等 违反 诚信 和 原则 的 行为 。 

(2) 不 利用 个 人 的 信息 安全 技术 能 力 实 施 或 组 织 各 种 违法 犯罪 行为 。 

(3) 不 在 公众 网 络 传播 反动 . 骏 力 .黄色 低俗 信息 及 非法 软件 。 

3) 努力 工作 ,尽职 尽责 

(1) 热爱 信息 安全 工作 岗位 ,充分 认识 信息 安全 专业 工作 的 责任 和 使 命 。 

(2) 为 发 现 和 消除 本 单位 或 雇主 的 信息 系统 安全 风险 做 出 应 有 的 努力 和 贡献 。 

(3) 帮助 和 指导 信息 安全 同行 提升 信息 安全 保障 知识 和 能 力 , 为 有 需要 的 人 谨慎 、 负 责 
地 提出 应 对 信息 安全 问题 的 建议 和 帮助 。 

4) 发 展 自身 ,维护 来 誉 

(1) 通过 持续 学 习 保 持 并 提升 和 月 身 的 信息 安全 知识 。 

(2) 利用 日 常 工作 、 学 术 交 流 等 各 种 方式 保持 和 提升 信息 安全 实践 能 力 。 

(3) 以 CISP 身份 为 荣 , 积 极 参 与 各 种 证 后 活动 ,避免 任何 损害 CISP 声誉 形象 的 行为 。 

2. 通行 道德 规范 

1) 美国 计算 机 伦理 协会 规定 的 计算 机 用 户 在 网 络 系 统 中 应 遵守 的 10 条 行为 准则 

(1) 不 应 使 用 计算 机 危害 他 人 。 

(2) 不 应 干涉 他 人 的 计算 机 工作 。 

(3) 不 应 突 探 他 人 的 计算 机 文件 。 

(4) 不 应 使 用 计算 机 进行 盗 魏 活动 。 

(5) 不 应 使 用 计算 机 做 伪证 。 

(6) 不 应 复制 或 使 用 没有 付费 的 版 权 所 有 软件 。 

(7) 不 应 在 未 经 授权 或 在 没有 适当 补偿 的 情况 下 使 用 他 人 的 计算 机 资源 。 

(8) 不 应 挪用 他 人 的 智力 成 果 。 

(9) 应 该 注意 你 编写 的 程序 或 设计 的 系统 所 造成 的 社会 后 果 。 

(10) 使 用 计算 机 时 应 该 总 是 考虑 到 他 人 并 尊重 他 人 。 

2) 中 国 互联 网 协会 的 文明 上 网 自律 公约 

自觉 遵 纪 守法 ,倡导 社会 公德 ,促进 绿色 网 络 建 设 ; 

提倡 先进 文化 , 握 弃 消极 瑞 废 ,促进 网 络 文明 健康 ; 

提倡 自主 创新 , 握 弃 盗版 简 锚 ,促进 网 络 应 用 繁 琳 ; 

提倡 互相 尊重 , 据 弃 造谣 诽谤 ,促进 网 络 和 谐 共 处 ; 

提倡 诚实 守信 , 握 弃 弄虚作假 ,促进 网 络 安全 可 信 ; 

提倡 社会 关爱 , 握 弃 低俗 沉迷 ,促进 少年 健康 成 长 ; 

提倡 公平 竞争 , 据 弃 尔 诗 我 诈 ,促进 网 络 百 花 齐 放 ; 

提倡 人 人 受益 ,消除 数字 鸿沟 ,促进 信息 资源 共享 。 
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随 着 信息 技术 的 不 断 发 展 和 社会 信息 化 进程 的 不 断 深入 ,信息 技术 本 号 的 脆弱 性 和 复 
杂 人 性 也 日 益 呈 现 出 来 。 信 息 安 全 事件 和 问题 不 断 骏 露 , 受 到 了 政府 和 社会 的 广泛 关注 。 各 
国 纷纷 研制 和 颁布 信息 安全 相关 标准 与 法 律 法 规 , 我 国 也 会 对 信息 安全 的 标准 和 法 律 法 规 
建设 相当 重视 ,已 经 建成 一 套 基 本 满足 我 国 经 济 和 社会 发 展 需要 的 标准 和 法 律 体系 ,为 促进 
国民 经 济 和 社会 发 展 发 挥 了 积极 作用 。 和 擎 握 相 关 标 准 和 法 律 法 规 , 使 得 信息 安全 从 业 人 员 
能 够 有 据 可 依 、 有 法 可 循 ; 了 解 相关 标准 和 法 律 法 规 , 对 于 规范 信息 系统 使 用 者 的 行为 是 有 
必要 的 。 


习题 


1. 什么 是 计算 机 系统 ? 请 指出 这 个 定义 是 在 哪个 标准 或 者 法 律 规 范 中 定义 的 。 

2. 简 述 GB 17859 一 1999 标准 中 第 1 级 与 第 2 级 在 安全 保护 能 力 上 的 差别 。 

3. 请 参阅 《信息 系统 安全 等 级 保护 基本 要 求 (GB/T 22239 一 2008)》, 统 计 出 不 同等 级 
各 类 基本 要 求 的 控制 点 的 情况 。 

4. 请 参阅 《信息 系统 安全 等 级 保护 实施 指南 (信安 字 [2007]10)》, 归 纳 信息 安全 等 级 保 
护 实施 时 各 阶段 的 主要 活动 及 输入 和 输出 。 
.以 某 一 个 组 织 或 单位 为 例 ,描述 该 组 织 信息 系统 安全 等 级 保护 工作 需要 。 
. 我 国 的 信息 安全 法 律 规范 的 体系 主要 包括 哪 几 个 方面 ? 
. 列举 1 一 2 个 你 所 知道 的 信息 安全 方面 的 法 律 案例 ,并 指出 案例 中 涉及 的 法 律 法 规 。 
. 简 述 信息 安全 法 律 规范 的 作用 。 
.如果 你 是 一 个 信息 安全 从 业 人 员 ,请 简 述 你 应 该 从 哪些 方面 做 好 工作 。 


oo ~ G A 


第 10 全 ”信息 安全 工程 案例 


本 章 学 习 目 标 : 
。 了 解 信息 安全 工程 的 系统 概要 及 结构 。 
。 了 解 基于 信息 安全 工程 方法 学 的 实践 案例 。 


10.1 系统 概要 


网 上 购物 已 成 为 人 们 生活 中 不 可 缺少 的 一 种 生活 方式 。 网 上 书城 系统 是 一 种 具有 交互 
功能 的 商业 信息 系统 , 它 在 网 络 上 建立 一 个 虚拟 的 购物 商场 ,使 购物 过 程 变 得 轻松 、 快 捷 方 
便 , 同 时 为 有 效 控制 商场 运营 的 成 本 开 旗 了 一 个 新 的 销售 渠 意 。 

本 系统 BookApp 是 一 个 基于 B/S 架构 的 网 上 书城 系统 ,为 用 户 提 供 网 上 购书 服务 ,并 
使 其 用 户 可 以 在 线 文 付 。 它 包括 网 站 前 台 的 购物 系统 和 后 台 的 数据 库 管 理 系统 。 具 体 来 
说 ,整个 系统 包含 了 图 书 发 布 \ 图 书 搜索 ,用户 管理 .订单 处 理 、 在 线 意 见 提交 、 后 台 管 理 等 功 
能 模块 ,实现 了 一 个 网 上 书城 系统 应 该 具备 的 基本 功能 。 

整个 BookApp 系统 的 流程 如 图 10-1 所 示 , 整 个 系统 流程 酒 盖 了 用 户 注 册 、 用 户 登 录 、 
查找 图 书 结账 、 生 成 订单 以 及 查询 订单 .支付 等 。 


用 户 注册 本 


结账 


10-1 网 上 书城 BookApp 应 用 系统 流程 
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10.2 系统 结构 


10.2.1 系统 体系 结构 


所 构建 的 网 上 书城 系统 整体 平台 是 一 个 典型 的 B/S 平台 架构 ,由 Web 服务 器 平台 、 数 
据 库 服务 喝 平 台 及 客户 端 组 成 ,如 图 10-2 所 示 。 


Web 刘 里 硕 Web 服 务 硕 数据 库 服 务 硕 
FE LE 


图 10-2 BookApp B/S 架构 展示 


10.2.2 系统 功能 结构 


BookApp 系统 主要 可 分 为 前 台 及 后 台 两 个 部 分 。 前 台 包 括 了 用 户 管理 ,图书 显示 、 收 
台 、 订 单 查询 .购物 车 网 上 调查 等 6 大 模块 。 用 户 通过 系统 前 台 提 供 的 功能 模块 可 以 注 
册 并 登录 用 户 账户 查看 图 书 、 购买 图 书 、 文 付 , 如 图 10-3 所 示 。 


圳 Ff 了 起 


郑 | 虹 革 了 酒 
岂 瑟 上 厂 可 


用 
出 
次 
村 
修 
改 


漆 厂 落 癌 
SS 


移 
除 
指 
定 


世 熙 天 册 癌 党 
RS 
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系统 的 后 台 则 包括 了 退出 ,图 书 管理 .用 户 管理 ,公告 管理 ,订单 管理 .网 上 调查 、 意 见 反 
馈 等 6 大 模块 。 管 理 员 通过 使 用 自己 的 管理 员 账 户 登录 系统 后 人 台 , 利 用 提供 的 操作 模块 ,更 
加 具体 地 管理 用 户 信 息 、 图 书信 息 、 公 告 信息 、 订 单 信息 。BookApp 系统 后 台 模 块 如 图 10-4 
所 示 。 
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:除了 洒 蛮 啼 


以 


羔 直 葵 人 沪 瓶 | 嘛 
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10-4 ”BookApp 系统 后 台 模 块 图 


10.3 系统 安全 风险 分 析 


10.3.1 系统 主要 资产 和 关键 业务 信息 

1. 系统 主要 资产 

BookApp 网 上 书城 系统 主要 的 资产 清单 如 下 。 

(1) Internet 基础 设施 。 

(2) 电子 商务 基础 平台 。 

(3) 硬件 (PC 服务 器 和 小 型 机 )。 

(4) 操作 系统 。 

(5) Web 服务 需 、 数据库 服务 硕 、 邮 件 服务 需 。 

(6) 图 书信 息 。 

(7) 客户 信息 。 

2. 关键 业务 信息 

BookApp 网 上 书城 系统 是 在 网 络 上 建立 一 个 24 小 时 不 打 料 的 网 上 书城 ,避免 了 挑选 
图 书 的 烦琐 过 程 , 使 购书 过 程 变 得 轻松 、 快 捷 \ 方 便 , 很 适合 现代 人 快 节 奏 的 生活 ; 同时 又 能 
有 效 地 控制 书店 运营 的 成 本 ,开辟 了 一 个 新 的 销售 渠道 。 

在 网 上 书城 整个 使 用 过 程 中 有 很 多 信息 在 商家 和 丑 家 之 间 传 输 ,如 买 家 的 订单 信息 、 商 
家 的 订单 确定 信息 以 及 客户 的 银行 账 务 信息 等 ,这 些 都 是 BookApp 的 关键 业务 信息 。 

在 后 台数 据 库 中 应 该 存储 着 大 量 的 图 书信 息 供 买 家 查询 .选择 等 ,这 些 图 书信 息 也 是 必 
不 可 少 的 业务 信息 。 

当 用 户 注 册 该 系统 时 ,要 填写 一 些 个 人 信息 ,对 于 BookApp 整个 交易 ,这些 客户 信息 也 
是 关键 的 业务 信息 。 
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10.3.2 可 能 攻击 源 综合 性 分 析 


网 络 时 代 大 潮 的 来 临 ,使 越 来 越 多 的 人 通过 Internet 进行 商务 活动 。 网 上 书店 是 随 着 
网 络 技 术 的 发 展 而 出 现 的 一 种 新 型 图 书 销售 渠道 , 它 通过 人 与 电子 通信 方式 的 结合 ,依靠 计 
算 机 网 络 , 以 通信 技术 为 基础 ,实现 图 书 销售 的 网 上 交易 。 这 种 销售 方式 得 到 了 越 来 越 多 人 
的 推 深 , 而 正 因 为 这 样 ,导致 了 安全 问题 也 变 得 越 来 越 突出 。 特 别 是 这 几 年 ,网 络 安全 事件 
不 断 攀 升 ,电子 商务 金融 成 了 攻击 目标 ,以 网 页 算 改 和 垃圾 邮件 为 主 的 网 络 安全 事件 正在 大 
幅 攀 升 ,而 网 上 书城 也 面临 着 同样 的 安全 问题 。 

电子 商务 面临 的 安全 威胁 主要 体现 在 如 下 方面 。 

1. 信息 在 网 络 的 传输 过 程 中 被 截获 

攻击 者 可 能 通过 互联 网 、 公 共 电 话 网 、 在 电磁 波 辐射 范围 内 安装 接收 装置 等 方式 ,截获 
传输 的 机 密 信 息 ,或 通过 对 信息 流量 和 流向 、 通 信 频 度 和 长 度 等 参数 的 分 析 , 获 取 有 用 信息 ， 
如 消费 者 的 银行 账号 、 密 码 等 。 

2. 传输 的 文件 可 能 被 算 改 

攻击 者 可 能 从 3 个 方面 破坏 信息 的 完整 性 。 

(1) 和 代 改 , 即 改变 信息 流 的 次 序 ,更 改 信 息 的 内 容 , 如 购买 商品 的 出 贷 地 址 。 

(2) 删除 , 即 删除 某 个 消息 或 消息 的 某 些 部 分 。 

(3) 插入 , 即 在 消息 中 插入 一 些 信 息 , 让 接收 方 读 不 懂 或 接受 错误 的 信息 。 

3. 伪造 电子 邮件 

(1) 虚 开 网 站 和 商店 ,给 用 户 发 电子 邮件 , 收 订货 

(2) 给 伪造 的 用 户 发 恶意 的 电子 邮件 , 耗 尽 商家 资源 ,使 合法 用 户 不 能 正常 访问 网 络 资 
源 ,使 有 严格 时 间 要 求 的 服务 不 能 及 时 得 到 啊 应 。 

(3) 伪造 用 户 发 大 量 的 电子 邮件 , 锚 取 商家 的 商品 信息 和 用 户 信 用 等 信息 。 

4. 假冒 他 人 身份 

(1) 冒充 他 人 身份 ,如 冒充 领导 发 布 命令 . 调 阅 密 件 。 

(2) 冒充 他 人 消费 .栽赃 。 

(3) 冒充 主机 欺骗 合法 主机 及 合法 用 户 。 

(4) 冒充 网 络 控 制程 序 , 套 取 或 修改 使 用 权限 、 密 钥 等 信息 。 

(5) 接管 合法 用 户 ,欺骗 系统 ,占用 合法 用 户 的 资源 。 

5. 不 承认 已 经 做 过 的 交易 ( 即 交 易 的 抵赖 ) 

(1) 发 消息 者 事后 否认 曾经 发 送 过 某 条 信息 或 内 容 。 

(2) 收 消 息 者 事后 否认 曾经 收 到 过 某 条 消息 或 内 容 。 

(3) 购买 者 做 了 订货 单 不 承认 。 

(4) 商家 卖 出 的 商品 因 价 格 差 而 不 承认 原 有 的 交易 。 

6. 网 络 蠕虫 


网 络 蠕虫 是 一 种 可 以 不 断 复制 自己 并 在 网 络 中 传播 的 程序 。 这 种 程序 利用 互联 网 上 计 
算 机 系统 的 漏洞 进入 系统 ,自我 复制 ,并 继续 向 互联 网 上 的 其 他 系统 进行 传播 。 蠕 虫 的 不 断 
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暗 变 并 在 网 络 上 的 传播 ,可 能 导致 网 络 被 阻塞 的 现象 发 生 , 从 而 致使 网 络 瘫痪 ,使 得 各 种 基 
于 网 络 的 电子 商务 等 应 用 系统 失效 。 

7. 拒绝 服务 攻击 

拒绝 服务 攻击 是 指 在 互联 网 上 控制 多 人 台 或 大 量 的 计算 机 针对 某 一 个 特定 的 计算 机 进行 
大 规模 的 访问 ,使 得 被 访问 的 计算 机 穷 于 应 付 来 势 凶 猛 的 访问 而 无 法 提供 正常 的 服务 ,使 得 
电子 商务 这 类 应 用 无 法 正常 工作 。 拒 绝 服 务 攻 击 是 黑客 常用 的 一 种 行 之 有 效 的 方法 。 如 果 
所 调动 的 攻击 计算 机 足够 多 , 则 更 难 进行 处 置 。 尤 其 是 被 蠕虫 侵 获 过 的 计算 机 ,很 容易 被 利 
用 而 成 为 攻击 源 ,并 且 这 类 攻击 通常 是 路 网 进行 的 ,加 大 了 打击 犯罪 的 难度 。 

8. 密码 攻击 

通过 多 种 不 同方 法 实现 ,包括 蛮 力 攻击 (brute force attack) ,特洛伊 木马 程序 、IP 欺骗 
和 报 文 嗅 探 。 尽 管 报 文 嗅 探 和 IP 欺骗 可 以 捕获 用 户 账 号 和 密码 ,但 密码 攻击 通常 指 反 复 地 
试探 、 验 证 用 户 账 号 或 密码 。 这 种 反复 试探 称 之 为 蛮 力 攻击 。 通 和 凋 蛮 力 攻击 使 用 运行 于 网 
络 上 的 程序 来 执行 ,并 企图 注册 到 共享 资源 中 ,例如 服务 融 。 当 攻击 者 成 功 地 获得 了 资源 的 
访问 权 , 就 拥有 了 和 那些 被 破解 账户 用 户 相 同 的 权限 。 如 果 这 些 账户 有 足够 多 的 特权 ,那么 
攻击 者 就 可 以 为 将 来 的 访问 创建 一 个 后 门 ,从 而 不 用 担心 被 破解 账户 的 任何 身份 和 密码 的 


10.3.3 系统 对 威胁 存在 的 脆弱 性 分 析 


针对 上 述 所 提出 的 可 能 攻击 源 分 析 , 可 以 把 BookApp 系统 面临 的 威胁 分 为 6 种 ,分 别 
是 欺骗 (spoofing )、 算 改 (tampering )、 否决 (repudiation )、 信息 泄露 (information 
disclosure) ,拒绝 服务 (denial of service) 及 权限 提高 (elevation of privilege) 。 现 在 分 别针 对 
这 6 种 类 型 的 威胁 ,对 系统 在 面临 威胁 时 候 所 存在 的 脆弱 性 做 出 研究 和 分 析 。 

1. 威胁 1: 欺骗 

如 果 没 有 完善 的 身份 验证 机 制 ,那么 欺骗 很 容易 成 功 。 

2. 威胁 2: 算 改 

由 于 系统 的 后 台数 据 库 的 数据 是 以 明文 形式 存储 的 ,而 在 信息 传输 过 程 中 又 没有 任何 
的 保密 措施 和 完整 性 校 验 , 因 此 只 要 攻击 者 使 用 网 络 嗅 探 希 对 网 络 进行 只 探 ,就 能 很 容易 地 
截获 所 传输 的 信息 数据 。 而 且 当 攻击 者 获得 数据 库 的 管理 员 权 限 并 且 成 功 和 人 侵 数 据 库 之 
后 ,攻击 者 就 可 以 随意 地 修改 数据 库 中 的 任何 信息 。 因 此 系统 面 对 该 威胁 的 脆弱 性 巨大 ,很 
容易 被 攻击 者 所 利用 。 

3. 威胁 3: 否决 

由 于 系统 没有 相关 的 日 志 记 录 文 件 来 记录 系统 的 所 有 操作 ,并 且 没 有 要 求 发 送 者 对 其 
所 发 送 的 数据 做 数字 签名 ,因此 很 容易 遭 到 否决 。 所 以 ,系统 面 对 该 威胁 的 脆弱 性 巨大 ,很 
容易 被 攻击 者 所 利用 。 

4. 威胁 4: 信息 泄露 

该 威胁 主要 来 源 于 管理 层面 ,由 于 内 部 管理 措施 不 当 , 造 成 了 相关 信息 的 泄露 。 而 在 技 
术 上 ,主要 是 由 于 未 对 系统 和 信息 进行 加 密 , 从 而 给 攻击 者 提供 了 监听 入 取 的 机 会 ,所 以 该 
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威胁 很 容易 被 人 利用 ,系统 脆弱 性 很 大 。 
5. 威胁 5: 拒绝 服务 


攻击 者 需要 寻找 大 量 的 “和 肉 机 ”, 同 时 还 要 隐藏 月 身 的 IP 的 地 址 ,其 所 付出 的 代价 很 大 ; 
由 于 系统 的 防火 墙 设置 规则 过 于 简单 ,没有 针对 拒绝 服务 的 规则 设置 ,因此 ,当面 对 拒绝 服 
务 的 威胁 时 ,系统 几乎 无 抵抗 能 力 。 

6. 威胁 6: 权限 提高 


利用 缓冲 区 洲 出 等 手段 本 身 需 要 较 高 的 技术 文 持 , 而 且 所 需要 的 代价 比较 高 昂 ,攻击 成 
功 的 可 能 性 不 大 。 所 以 系统 对 该 类 威胁 存在 的 脆弱 性 比较 小 ,但 是 也 不 容 忽 视 , 因 为 一 旦 攻 
击 成 功 , 对 系统 所 造成 的 伤害 将 是 非常 巨大 的 。 


10.3.4 系统 面临 的 安全 风险 综述 


针对 上 述 威胁 和 系统 对 威胁 存在 的 脆弱 性 ,还 可 以 采用 定性 .定量 或 定性 加 定量 的 方式 
进一步 分 析 系 统 面临 的 安全 风险 ,最 后 得 出 系统 面临 的 安全 风险 如 下 。 

(1) 遭遇 欺骗 攻击 。 

(2) 信息 被 非法 算 改 。 

(3) 遭遇 对 方 否决 。 

(4) 私密 信息 被 泄露 。 

(5) 遭 到 拒绝 服务 。 

(6) 权限 被 非法 提高 。 


10.4 BookApp 系统 安全 需求 


10.4.1 计算 机 安全 


计算 机 是 一 种 硬件 设备 , 便 件 设备 难免 出 现 故 障 ,一 旦 出 现 ,将 会 影响 电子 商务 系统 的 
运行 。 特 别 是 计算 机 的 硬盘 ,一 旦 损坏 ,数据 就 会 丢失 ,损失 就 无 法 挽回 ,需要 对 计算 机 硬件 
和 数据 进行 备份 。 计 算 机 系统 安全 主要 考虑 提高 用 于 电子 商务 系统 的 计算 机 人 硬件 可 徘 性 和 
稳定 性 。 


10.4.2 网 络 层 安全 需求 


网 络 是 用 户 进 行 数据 交换 ,信息 传递 的 主要 途径 。 通 过 网 络 , 用 户 可 以 访问 网 络 中 不 同 
的 计算 机 系统 。 网 络 安全 主要 是 考虑 限制 用 户 对 用 于 BookApp 系统 的 计算 机 的 访问 权限 ， 
防止 未 授权 的 用 户 对 系统 的 访问 以 及 越权 访问 。 

网 络 层 安全 主要 解决 企业 网 络 互 联 时 和 在 网 络 通 信 层 安全 问题 ,需要 解决 的 问题 如 下 。 

(1) BookApp 系统 网 络 进出 口 控 制 ( 即 IP 过 滤 )。 

(2) BookApp 系统 网 络 和 链 路 层 数据 加 密 。 

(3) 安全 检测 和 报警 、 防 杀 病 毒 。 
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1. 网 络 进出 口 控制 


需要 对 进入 BookApp 网 站 进行 管理 和 控制 ,通过 防火 墙 或 虚拟 网 段 进 行 分 割 和 访问 权 
限 的 控制 。 同 样 需要 对 内 网 到 公 网 进行 管理 和 控制 ,要 达到 授权 用 户 可 以 进出 内 部 网 络 , 防 
止 非 授 权 用 户 进出 内 部 网 络 这 个 基本 目标 。 

2. 网 络 层 与 链 路 层 数据 加 密 

对 关键 应 用 需要 进行 链 路 层 数 据 加 密 。 

3. 安全 检测 和 报警 防 杀 病毒 

安全 检测 是 实时 对 公开 网 络 和 公开 服务 器 进行 安全 扫描 和 检测 ,及 时 发 现 不 安全 因素 ， 
对 网 络 攻 击 进行 报警 。 这 主要 是 提供 一 种 监测 手段 ,保证 网 络 和 服务 的 正常 运行 。 

(1) 及 时 发 现 来 目 网 络 内 外 对 网 络 的 攻击 行为 。 

(2) 详细 地 记录 攻击 发 生 的 情况 。 

(3) 当 发 现 网 络 遭 到 攻击 时 ,系统 必须 能 够 问 管 理 员 发 出 报警 消息 。 

(4) 当 发 现 网 络 遭 到 攻击 时 ,系统 必须 能 够 及 时 阻 断 攻击 的 继续 进行 。 

(5) 对 防火 墙 进行 安全 检测 和 分 析 。 

(6) 对 Web 服务 需 检 测 进 行 安全 检测 和 分 析 。 

(7) 对 操作 系统 检测 进行 安全 检测 和 分 析 。 

需要 采用 网 络 防 病毒 机 制 来 防止 网 络 病毒 的 攻击 和 草 延 。 严 格 地 讲 , 防 杀 病 毒 属 于 系 


10.4.3 应 用 层 安 全 需求 


应 用 层 的 安全 需求 是 客户 应 以 日 己 的 号 份 进行 授权 的 操作 ,并 保证 日 己 的 账户 资源 不 
被 别人 窃取 ， 具体 描述 如 下 。 
(1) 会 员 客 户 和 企业 电子 商务 服务 器 的 双向 身份 鉴别 一 一 防止 双向 欺骗 和 假冒 。 
(2) 会 员 账 户 资 源 的 授权 访问 控制 一 一 只 能 做 授权 范围 内 的 操作 ，。 
(3) 资源 的 保密 性 和 完整 性 一 一 防止 会 员 客 户 的 口令 .账户 信息 被 网 上 禄 听 。 
(4) 防止 否认 和 抵赖 一 一 为 业务 仲裁 提供 法 律 依据 。 
(5) 账户 资源 访问 的 监视 和 审计 。 


10.4.4 后 台 管 理 的 安全 需求 


所 谓 后 台 管 理 是 指 企 业内 部 对 BookApp 系统 的 数据 库 .应 用 服务 需 等 系统 进行 的 日 稼 
管理 工作 ,这 些 工 作 直 接 涉 及 客户 保密 信息 。 在 管理 过 程 中 ,系统 管理 员 也 要 进行 身份 认证 
和 授权 管理 ,这 样 可 以 将 内 部 风险 降 到 最 低 限 度 。 


10.4.5 BookApp 交易 安全 需求 


BookApp 系统 交易 过 程 中 ， 和 上 ,确认 订购 信息 , 收 储 敌 ; 客户 要 获取 
产品 信息 ,传递 订购 信息 , 文 付 负 球 。 严 卖 双 方 都 存在 安全 问题 ,其 中 主要 包括 交易 信息 安 
全 、 文 付 安全 和 诚信 和 安全。 


第 10 章 信息 安全 工程 案例 215 


1. 交易 信息 安全 

交易 信息 包括 商家 的 产品 信息 和 订单 确认 信息 、 客 户 的 订单 信息 。 交 易 信 息 具 有 机 密 
性 ,不 能 被 算 改 。 交 易 信 息 安 全 主要 是 防止 交易 信息 被 截获 或 截获 后 被 破译 ,以 及 防止 数据 

恶意 算 改 和 破坏 。 

2. 支付 安全 

支付 信息 主要 是 客户 的 银行 账号 、 交 易 金 额 ,以 及 个 人 识别 码 (PIN) 和 电子 货币 信息 。 
支付 过 程 中 必须 保证 这 些 信息 的 安全 。 同 时 ,对 商家 来 说 ,可 能 存在 虚假 订单 ,假冒 者 以 客 
户 名 义 订购 货物 ,而 要 求 客 户 付 款 ; 对 客户 来 说 ,可 能 存在 欺骗 性 网 站 , 盗 取 客户 敏感 信息 ， 
导致 资金 被 窃取 。 如 何 保证 客户 支付 信息 安全 以 及 买卖 双方 身份 的 真实 性 ,是 支付 安全 主 
要 考虑 的 问题 。 

3. 诚信 安全 

当 交 易 信息 和 支付 信息 有 了 安全 保障 ,也 并 不 能 让 买卖 双方 放心 从 事 网 上 交易 。 电 子 
商务 的 在 线 文 付 形 式 有 电子 现金 .电子 支票 .信用卡 文 付 。 但 是 采用 这 几 种 方式 ,都 要 求 客 
户 先 付款 ,商家 再 发 货 。 这 样 客户 付款 以 后 ,会 担心 收 不 到 货物 或 者 收 到 劣质 的 货物 。 如 果 
是 先 发 货 ,然后 付款 ,那么 商家 会 担心 客户 是 否 会 付款 。 


10.5 ”安全 拉 术 手段 和 方法 


BookApp 系统 的 关键 是 保证 交易 数据 和 交易 过 程 的 安全 ,Internet 本 喘 的 开放 性 使 
BookApp 系统 面临 各 种 各 样 的 安全 威胁 。 要 解决 安全 问题 ,要 求 BookApp 系统 具备 以 下 
功能 。 

(1) 防止 交易 信息 被 非法 截获 或 读 取 的 保密 性 。 

(2) 防止 交易 信息 丢失 并 保证 信息 传递 次 序 统一 的 完整 性 。 

(3) 防止 假冒 身份 在 网 上 交易 和 诈骗 的 可 徘 性 。 

(4) 防止 交易 各 方 对 已 做 交易 无 法 抵赖 的 抗 否认 性 以 及 原子 性 等 安全 要 求 。 

根据 BookApp 系统 信息 安全 性 要 求 ,对 BookApp 系统 的 安全 问题 进行 了 层次 分 析 , 提 
出 了 BookApp 系统 的 安全 框架 体系 结构 。 

BookApp 系统 的 安全 框架 体系 结构 是 保证 BookApp 数据 安全 的 一 个 完整 的 逻辑 结 
构 , 由 5 部 分 组 成 ,如 图 10-5 所 示 。 此 安全 体系 由 网 络 服务 层 、 加 密 技 术 层 、 安 全 认证 层 、 交 
易 协议 层 、 应 用 系统 层 组 成 。 从 图 10-5 中 的 层次 结构 可 以 看 出 ,下 层 是 上 层 的 基础 ,为 上 层 
提供 技术 文 持 , 上 层 是 下 层 的 扩展 与 递 进 , 各 层次 之 间 相 互 依赖 ,相互 关联 构成 统一 整体 ,各 
层 通过 控制 技术 的 递 进 实 现 BookApp 的 安全 。 

BookApp 系统 是 依赖 网 络 实现 的 商务 系统 ,需要 利用 Internet 基础 设施 和 标准 ,所 以 
构成 BookApp 系统 的 安全 框架 的 抵 层 是 网 络 服务 层 , 它 是 BookApp 系统 应 用 的 基础 ,并 提 
供 信 息 传送 的 载体 和 用 户 接 入 手段 及 安全 通信 服务 ,保证 网 络 最 基本 的 运行 安全 。 为 确保 
BookApp 系统 全 面 安全 ,必须 建立 完善 的 加 密 技 术 和 认证 机 制 。 加 密 技 术 是 保证 BookApp 
系统 安全 所 采用 的 最 基本 的 安全 措施 , 它 用 于 满足 BookApp 对 保密 性 的 要 求 。 安 全 认证 层 
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中 的 认证 技术 是 保证 电子 商务 安全 的 必要 手段 , 它 对 加 密 技 术 层 中 提供 的 多 种 加 密 算 法 进 
行 综合 运用 ,进一步 满足 BookApp 系统 对 完整 性 、 抗 否认 性 、 可 靠 性 的 要 求 。 

在 图 10-5 中 所 示 的 BookApp 系统 的 安全 框架 体系 中 ,加 蜜 技术 层 、 安 全 认证 层 、 交 易 
协议 层 丝 专 为 电子 交易 数据 的 安全 而 构筑 。 其 中 ,交易 协议 层 是 加 密 技 术 层 和 安全 认证 层 
的 安全 控制 技术 的 综合 运用 和 完善 ,为 BookApp 系统 的 安全 交易 提供 保障 机 制 和 交易 
标准 。 
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图 10-5 BookApp 系统 安全 体系 结构 

下 面 对 各 个 层 进行 介绍 。 
10.5.1 网 络 服务 层 

网 络 基 础 结构 层 包括 多 厂商 的 网 络 服务 及 网 络 系 统 , 用 它们 构成 一 种 安全 的 、 面 品 交 易 
以 及 面 癌 关系 的 通信 网 络 联 结 。 网 络 服务 包括 策略 管理 软件 .地址 管理 软件 .安全 和 网 络 管 
理 软件 。 

1. 网 络 隐 患 扫描 

作为 一 种 积极 主动 的 安全 防护 技术 ,网 络 隐 患 扫 描 在 网 络 系统 受到 危害 之 前 ,可 以 及 时 
发 现 安全 隐患 和 漏洞 ,预先 提供 安全 防护 解决 方案 。 

2. 网 络 安全 监控 

1) 月 动 发 现 和 控制 非法 的 网 络 连 接 


功能 描述 : 网 络 安全 监控 系统 实时 监控 网 内 所 有 计算 机 的 网 络 连接 ,一 旦 违反 安全 宁 
略 的 网 络 连接 出 现 , 系 统 将 癌 监 控 台 实时 报警 ,并 根据 预先 设 定 的 控制 策略 做 出 啊 应 。 
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2) 监控 网 内 用 户 本 地 计算 机 的 屏幕 和 操作 

功能 描述 : 根据 网 络 监 管 员 的 指令 ,对 网 内 用 户 本 地 计算 机 的 屏幕 和 操作 进行 实时 监 
控 ,包括 用 户 计 算 机 屏幕 上 的 所 用 行为 和 用 户 键盘 、 鼠 标的 操作 过 程 。 

3) 上 自动 识别 网 内 出 现 的 陌生 计算 机 

功能 描述 : 网 络 安全 监控 系统 能 自动 检测 出 不 在 当前 监控 范围 内 的 计算 机 ,并 记录 其 
言 息 和 发 出 警报 。 

3. 内 容 识 别 

内 容 识别 网 络 就 是 针对 传输 层 到 应 用 层 进 行 网 络 的 管理 。 如 果 一 台 交 换 机 能 够 逐 层 解 
开通 过 的 每 一 个 数据 包 的 每 层 封 闻 ,并 识别 出 最 次 层 的 信息 ,那么 它 就 具备 了 内 容 识别 功 
能 。 要 解决 区 分 应 用 动态 分 配 资 源 和 用 户 计 费 等 问题 ,用 网 络 识别 设备 分 发 业务 流量 是 一 
个 很 好 的 途径 。 

4. 病毒 防治 

病毒 的 侵入 必 将 对 系统 资源 构成 威胁 ,影响 系统 的 正常 运行 。 特 别 是 通过 网 络 传播 的 
计算 机 病毒 ,能 在 很 短 的 时 间 内 使 整个 计算 机 网 络 处 于 瘫痪 状态 ,从 而 造成 巨大 的 损失 。 因 
此 ,防止 病毒 的 侵入 要 比 发 现 和 消除 病毒 更 重要 。 

5. 防火 墙 

防火 墙 是 指 一 种 将 内 部 网 和 公众 访问 网 分 开 的 方法 ,是 网 络 之 间 一 种 特殊 的 访问 控制 
设施 。 在 Internet 网 络 与 内 部 网 之 间 设 置 的 一 道 屏 障 , 防 止 黑 客 进 入 内 部 网 ,由 用 户 制 定安 
全 访问 策略 ,抵御 各 种 侵 认 的 一 种 隔离 技术 。 在 人 逻辑 上 ,防火 墙 是 一 个 分 离 副 ,一 个 限制 右 ， 
也 是 一 个 分 析 器 ,有 效 地 监控 了 内 部 网 和 Internet 之 间 的 任何 活动 ,保证 了 内 部 网 络 的 安 
全 。 防 火 墙 的 安全 技术 主要 包括 包 过 滤 技 术 、 代 理 技术 和 地 址 迁移 技术 等 。 


10.5.2 加 密 技术 层 


加 密 技 术 是 电子 商务 的 最 基本 安全 措施 。 所 谓 加 密 就 是 通过 密码 算法 对 数据 进行 转 
化 ,使 之 成 为 没有 正确 密 钥 任何 人 都 无 法 读 懂 的 报 文 。 而 这 些 以 无 法 读 懂 的 形式 出 现 的 数 
据 一 般 被 称 为 密 文 。 为 了 读 懂 报 文 , 密 文 必须 重新 转变 为 它 的 最 初 形 式 一 一 明文 ,而 含有 用 
来 以 数学 方式 转换 报 文 的 双重 密码 就 是 密 钥 。 在 这 种 情况 下 即使 一 则 信息 被 截获 并 阅读 ， 
这 则 信息 也 是 毫 无 利用 价值 的 。 

1. 对 称 加 密 

对 称 加 密 ( 也 称 私 钥 加 密 ) 就 是 在 数据 加 密 和 解密 时 使 用 相同 的 密 钥 。 使 用 对 称 加 密 方 
法 可 以 将 加 密 处 理 简 化 ,其 优势 也 就 在 于 简单 快捷 、 密 钥 较 短 。 与 公 钥 算法 相 比 ,其 算法 也 
非常 快 ,特别 适用 于 对 较 大 的 数据 流 执行 加 密 转 换 。 但 其 不 足 之 处 在 于 通信 双方 必须 事先 
告知 密 钥 ,否则 接收 方 无 法 对 数据 进行 解密 ,而 密 钥 本 号 必须 保证 对 未 经 授权 的 用 户 进行 保 
密 , 因 而 在 该 传输 过 程 中 就 会 存在 着 密 钥 安全 交换 的 问题 。 对 称 加 密 通 常 要 与 非 对 称 加 密 
一 起 使 用 。 

2. 非 对 称 加 密 

非 对 称 加 密 ( 也 称 公 钥 加 密 ) 就 是 使 用 一 个 必须 对 未 经 授权 的 用 户 保 密 的 私 铀 和 一 个 可 
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以 对 任何 人 公开 的 公 钥 。 非 对 称 加 密 的 优势 在 于 密 钥 的 可 能 值 范围 更 大 ,解决 了 对 称 加 密 
中 私 钥 传递 的 不 安全 性 ,减少 了 对 每 个 可 能 密 钥 尝试 穷 举 的 攻击 性 。 同 时 , 它 可 以 创建 数字 
签名 以 验证 数据 发 送 方 的 号 份 。 但 其 不 足 之 处 在 于 非 对 称 加密 算 法 非常 慢 , 不 适合 用 来 加 
密 大 量 数据 。 

数据 加 密 技术 是 信息 安全 的 基本 技术 ,在 网 络 中 使 用 的 越 来 越 广泛 。 密 码 技 术 的 发 展 
也 将 渗透 到 数字 信息 的 每 一 个 角落 ,与 数据 网 络 .通信 系统 的 安全 紧密 联系 在 一 起 ,提供 更 
广泛 .更 有 效 的 安全 保护 措施 。 


10.5.3 安全 认证 层 


目前 , 仅 有 加 密 技 术 不 足以 保证 电子 商务 中 的 交易 安全 ,和 号 份 认证 技术 是 保证 电子 商务 
安全 不 可 缺少 的 又 一 重要 技术 手段 ,认证 的 实现 包括 数字 证 书 、 数 字 签 名 、 数 字 摘 要 和 数字 
时 间 惟 等 。 

1. 数字 证 书 

在 一 个 电子 商务 系统 中 ,所 有 参与 活动 的 实体 都 必须 用 数字 证 书 来 表明 自己 的 身份 。 
数字 证 书 一 方面 可 以 用 来 器 系统 中 的 其 他 实体 证 明 自 己 的 号 份 (每 份 数字 证 书 都 是 经 “相对 
权威 的 机 构 ? 签 名 的 ) , 另 一 方面 由 于 每 份 数字 证 书 都 携 市 着 数字 证 书 持 有 者 的 公 钥 ,所 以 ， 
数字 证 书 也 可 以 向 接收 者 证 实 某 人 或 某 个 机 构 对 公开 密 钥 的 拥有 ,同时 也 起 着 公 钥 分 发 的 
作用 。 

2. 数字 签名 

所 谓 数字 签名 ,就 是 只 有 信息 的 发 送 者 才能 产生 的 ,别人 无 法 伪造 的 一 段 数字 串 , 它 同 
时 也 是 对 发 送 者 发 送 的 信息 的 真实 性 的 一 个 证 明 。 签 署 一 个 文件 或 其 他 任何 信息 时 ,签名 
者 首先 须 准确 界定 要 签署 内 容 的 范围 。 然 后 ,签名 者 软件 中 的 喻 希 函 数 将 计算 出 被 签署 信息 
唯一 的 哈 硕 图 数 结果 值 。 最 后 使 用 签名 者 的 私人 密码 将 哈 希 图 数 结果 值 转化 为 数字 签名 ,得 
到 的 数字 签名 对 于 被 签署 的 信息 和 用 以 创建 数字 签名 的 私人 密码 而 言 都 是 独一无二 的 。 

3. 数字 摘要 

通过 使 用 单 向 散 列 函数 将 需要 加 密 的 明文 “摘要 ”成 一 个 固定 长 度 (128b) 的 密 文 。 该 
密 文 同 明 文 是 一 一 对 应 的 ,不 同 的 明文 加 密 成 不 同 的 密 文 ,相同 的 明文 其 摘要 必然 一 样 。 因 
此 ,利用 数字 摘要 就 可 以 验证 通过 网 络 传输 收 到 的 明文 是 否 是 初始 的 、 未 被 算 改 过 ,从 而 保 
证 数据 的 完整 性 和 有 效 性 。 

4. 数字 时 间 截 

在 电子 商务 中 , 需 对 交易 文件 的 日 期 和 时 间 信 息 采 取 安 全 措施 ,而 数字 时 间 戳 服务 
(DTS service) 专 用 于 提供 电子 文件 发 表 时 间 的 安全 保护 ,该 服务 由 专门 的 机 构 提 供 。 所 请 
的 时 间 戳 是 一 个 经 过 加 密 后 形成 的 凭证 文档 , 共 包 括 3 部 分 : 需要 加 盖 时 间 戳 的 文件 的 摘 
要 、DTS 收 到 文件 的 日 期 和 时 间 、DTS 的 数字 签名 。 


10.5.4 交易 协议 层 


除了 各 种 安全 控制 技术 外 ,电子 商务 的 运行 还 需要 一 套 完 善 的 交易 安全 协议 。 不 同 交 
易 协 议 的 复杂 性 、 开 销 、 安 全 性 各 不 相同 ,不 同 的 应 用 环境 对 协议 目标 的 要 求 也 不 尽 相 同 。 
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目前 ,比较 成 熟 的 协议 有 SET、SSL IKP 等 基于 信用 卡 的 交易 协议 ,NetBill、NetCheque 等 
基于 支票 的 交易 协议 ,DigiCash、NetCash 等 基于 现金 的 交易 协议 ,匿名 原子 交易 协议 ,防止 
软件 侵权 和 非法 复制 的 基于 KPC 的 电子 软件 分 销 协 议 等 。 下 面 介绍 SSL 协议 和 SET 
协议 。 

1. SSL 协议 

SSL(Secure Socket Layer, 安 全 套 接 层 ) 协 议 是 在 网 络 传输 层 之 上 提供 的 一 种 基于 非 对 
称 密 钥 和 对 称 密 钥 技术 的 用 于 浏览 器 和 Web 服务 器 之 间 的 安全 连接 技术 。SSL 协议 支持 
了 电子 商务 关于 数据 的 安全 性 .完整 性 和 身份 认证 的 要 求 ,但 它 没有 保证 不 可 抵赖 性 的 
要 求 。 

2. SET 协议 

SET(Secure Electronic Transaction ,安全 电子 交易 协议 ) 采 用 公 钥 密码 体制 和 X. 509 
数字 证 书 标准 ,主要 应 用 于 B2C 模式 中 保障 文 付 信息 的 安全 性 。SET 协议 本 号 比较 复杂 ， 
设计 比较 严格 ,安全 性 高 ,能 保证 信息 传输 的 机 密 性 、 真 实 性 、 完 整 性 和 不 可 否认 性 。 

由 于 SET 协议 提供 了 消费 者 .商家 和 银行 之 间 的 认证 ,确保 了 交易 数据 的 安全 性 、 完 整 
性 .可靠 性 和 交易 的 不 可 否认 性 ,特别 是 保证 不 将 消费 者 银行 卡号 暴露 给 商家 等 优点 ,因此 
它 成 了 目前 公认 的 信用 卡 / 借 记 卡 的 网 上 交易 的 国际 安全 标准 。 


10.5.5 应 用 系统 层 


在 应 用 系统 层 中 ,通过 以 上 各 种 技术 和 方法 的 应 用 后 ,在 保密 性 上 ,通过 前 面 各 个 层面 
的 数据 保护 措施 ,保证 了 数据 的 保密 性 , 即 不 会 被 锚 取 而 导致 数据 被 其 他 非法 分 子 所 知晓 。 
在 完整 性 上 ,保证 了 数据 的 完整 性 , 即 防 止 单方 面 对 交 易 信 息 的 生成 和 修改 。 在 匿名 性 上 ， 
保证 了 数据 的 匿名 性 , 即 对 交易 的 内 容 、 交 易 双 方 账号 、 密 码 不 被 他 人 识别 和 盗 取 。 在 不 可 
否认 性 上 ,保证 了 数据 的 不 可 否认 性 , 即 在 交易 信息 的 传输 过 程 中 为 参与 交易 的 个 人 ,企业 
或 国家 提供 可 靠 的 标识 。 在 有 效 性 上 ,保证 了 数据 的 有 效 性 , 即 信 息 在 传输 到 交易 双方 后 信 
息 是 真实 有 效 的 。 在 可 徘 性 上 ,保证 了 数据 的 可 徘 性 , 即 保 证 网 上 交易 合同 的 有 效 性 ,防止 
系统 故障 .计算 机 病毒 .黑客 攻击 。 

用 于 保证 BookApp 系统 的 安全 控制 技术 很 多 ,层次 各 不 相同 ,但 并 非 是 把 所 有 安全 技 
术 简 单 地 组 合 就 可 以 得 到 可 靠 的 安全 。 

如 果 清 楚 了 如 图 10-5 所 示 的 技术 层次 ,通过 合理 结合 与 改进 ,就 可 以 从 技术 上 实现 系 
统 的 、 有 效 的 BookApp 安全 。 


10.6 系统 安全 省 理 机 构 及 制度 


10.6.1 BookApp 系统 安全 机 构 设 置 


安全 机 构 的 设置 对 系统 的 管理 安全 起 到 了 一 个 调控 的 作用 ,BookApp 系统 主要 设置 有 
以 下 安全 机 构 。 
(1) 运 维 管理 部 。 人 负责 定期 对 系统 的 设施 进行 维护 管理 ; 对 服务 右 的 开机 、 关 机 等 工 
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人 管理 ; 建立 机 房 的 安全 管理 制度 ,对 有 关机 房 的 物理 访问 以 及 系统 机 房 环 境 安全 等 
进行 监控 和 管理 ; 对 网 络 进行 监控 和 维护 。 
(2) 资产 中 心 。 编 制 和 系统 相关 的 资产 清单 ,对 设备 的 购 进 和 淘汰 等 进行 记录 和 管理 。 
(3) 采购 部 。 负 责 对 各 种 软 硬 件 设备 的 采购 发放、 领 用 。 
(4) 技术 中 心 。 负 责 对 系统 的 操作 .数据 库 的 管理 并 且 协 同 其 他 部 门 解决 技术 难题 。 


10.6.2 岗位 职责 


BookApp 系统 设立 了 安全 管理 各 个 方面 的 负责 人 六 位 ,并 定义 各 负责 人 的 职责 

(1) 系统 管理 员 。 对 系统 进行 监控 和 管理 ,及 时 发 现 系统 中 的 错误 ,并 负责 对 系统 的 运 
行 和 维护 进行 管理 ; 对 系统 安全 策略 、 安 全 配置 日 志 管 理 和 日 常 操作 流程 等 方面 做 出 
控制 ; 

(2) 网 络 管理 员 。 对 网 络 进行 管理 ,负责 运行 日 志 、 网 络 监控 记录 的 日 常 维护 .报警 信 
息 分 析 和 处 理 以 及 对 网 络 安全 配置 进行 管理 。 

(3) 安全 管理 员 。 对 整个 系统 的 安全 进行 管理 ; 对 物理 访问 和 系统 的 访问 等 进行 控制 
和 管理 ; 对 系统 存在 的 威胁 进行 排除 和 控制 ; 对 系统 人 员 进 行 管理 ,实现 人 员 的 安全 和 物 


理 设 备 以 及 软件 的 安全 。 
(4) 数据 库 管 理 员 。 负 责 对 数据 库 进 理 ; 对 数据 库 的 操作 安全 及 更 新 等 进行 
控制 。 


10.6.3 管理 制度 


要 实现 BookApp 系统 的 安全 , 仅 有 技术 上 的 安全 是 不 行 的 ,还 要 有 完备 的 网 络 安全 管 
理 条 例 , 这 样 才 能 从 根本 上 杜绝 不 安全 事件 的 发 生 。 就 像 常 讲 的 先 要 从 体制 上 抓 起 ,可 以 建 
立 人 事 制 度 、 机 房管 理 制度 、 运 行 安 全 制度 、 核 心 信息 和 资产 访问 制度 以 及 备份 恢复 制度 等 
多 种 安全 管理 制度 来 增强 BookApp 系统 的 安全 。 

1. 人 事 制 度 

人 是 信息 安全 中 最 关键 的 因素 ,同时 也 是 信息 安全 中 最 薄弱 的 环节 。 很 多 重要 的 信息 
系统 安全 问题 都 涉及 用 户 \ 设 计 人 员 、 实 施 人 员 以 及 管理 人 员 。 如 果 这 些 与 人 员 有 关 的 安全 
问题 没有 得 到 很 好 的 解决 ,任何 一 个 信息 系统 都 不 可 能 达到 真正 的 安全 。 只 有 对 人 员 进 行 
了 正确 完善 的 管理 , 才 有 可 能 降低 人 为 错误 .盗窃 .诈骗 和 误 用 设备 的 风险 ,从 而 减 小 了 信息 
系统 由 于 人 员 错 误 造 成 损失 的 概率 。 因 此 ,人 事 制 度 的 确立 至 关 重 要 。 

对 人 员 安 全 的 管理 ,主要 涉及 两 方面 : 对 内 部 人 员 的 安全 管理 和 对 外 部 人 员 的 安全 管 
理 。 具 体 包 括 人 员 录 用 、 人 员 离 网 、 人 员 考 核 , 安 全 意识 教育 和 培训 以 及 外 部 人 员 访 问 管理 
等 5 个 控制 点 。 

不 同等 级 的 基本 要 求 在 人 员 安 全 管理 方面 的 体现 不 同 。 

(1) 一 级 人 员 安 全 管理 要 求 。 对 人 员 在 机 构 的 工作 周期 ( 即 录用 .日常 培训 、 离 册 ) 的 活 
动 提 出 基本 的 管理 要 求 , 同 时 ,对 外 部 人 员 访 问 要 求 得 到 授权 和 审批 。 

(2) 二 级 人 员 安 全 管理 要 求 。 在 控制 点 上 增加 了 人 员 考 核 , 对 人 员 的 录用 和 离 疯 要求 

一 步 增强 ,过 程 性 要 求 增加 ,安全 教育 培训 更 正规 化 ,对 外 部 人 员 约 束 其 访问 行为 。 
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(3) 三 级 人 员 安 全 管理 要 求 。 在 二 级 要 求 的 基础 上 ,增强 了 对 关键 岗位 人 员 的 录用 、 离 
岗 和 考核 要 求 , 对 人 员 的 培训 教育 更 具有 针对 性 ,对 外 部 人 员 访 问 的 要 求 更 具体 。 

(4) 四 级 人 员 安 全 管理 要 求 。 在 三 级 要 求 的 基础 上 ,提出 保密 要 求 和 关键 区 域 禁 止 外 
部 人 员 访 问 的 要 求 。 

1) 人 员 录 用 

对 人 员 的 安全 管理 ,首先 在 人 员 录 用 时 便 应 进行 条 件 符 合 性 租 选 。 录 用 时 应 考虑 的 方 
面包 括 人 员 技 术 水 平 、 身 份 背景 .专业 资格 等 。 通 过 对 这 几 方 面 的 审查 ,判断 录用 与 否 。 对 
于 从 事 重要 区 域 或 部 门 的 安全 管理 人 员 的 聘用 要 求 则 应 更 高 ,一般 应 从 内 部 人 员 中 选用 那 
些 实践 证 明 精 二 .忠实 可 靠 . 认 真 负责 、 保 守 秘 密 的 人 员 。 

该 控制 点 在 不 同 级 别 主要 表现 如 下 。 

(1) 一 级 。 要 求 负责 部 门 或 人 员 对 录用 人 员 和 号 份 、 专 业 等 进行 基本 的 审查 。 

(2) 二 级 。 在 一 级 要 求 的 基础 上 ,增加 了 对 录用 人 员 技 能 的 考核 ,并 与 关键 网 位 人 员 签 
署 保 密 协 议 的 形式 约束 其 职责 

(3) 三 级 。 在 二 级 要 求 的 基础 上 ,增加 了 对 从 事 关 键 岗 位 人 员 更 加 严格 的 录用 要 求 ,并 
与 全 部 员工 签署 保密 协议 。 

2) 人 员 离 岗 

由 于 人 员 在 离开 本 岗位 或 本 机 构 前 ,具有 一 定 的 访问 权限 ,并 知晓 其 中 部 分 信息 ,因此 
对 人 员 离 岗 的 管理 要 求 同 样 非常 重要 。 在 离 岗 时 ,主要 从 硬件 归还 (设备 .设施 ) 和 权限 撤销 
两 方面 考虑 要 求 。 

该 控制 点 在 不 同 级 别 主要 表现 如 下 。 

(1) 一 级 。 要 求 对 离 岗 人 员 进 行 设 备 归 还 和 权限 终止 。 

(2) 二 级 。 在 一 级 要 求 的 基础 上 ,增加 了 规范 离 岗 过 程 的 要 求 。 

(3) 三 级 。 与 二 级 要 求 的 基础 上 ,增加 了 关键 岗位 人 员 离 岗 的 要 求 。 

(4) 四 级 。 在 三 级 要 求 的 基础 上 ,增加 了 制度 化 规范 的 要 求 。 

3) 人 员 考 核 

对 人 员 的 考核 ,主要 是 为 了 保持 各 个 岗位 人 员 能 时 刻 满足 该 岗位 的 技术 能 力 需 求 , 同 时 
也 是 机 构 对 所 有 人 员 技 能 的 阶段 性 全 面 了 解 。 其 中 ,重点 关注 对 关键 岗位 人 员 的 审查 和 

该 控制 点 在 不 同 级 别 主要 表现 如 下 。 

(1) 一 级 。 无 此 要 求 。 

(2) 二 级 。 要 求 对 人 员 定 期 进行 技能 考核 。 

(3) 三 级 。 在 二 级 要 求 的 基础 上 ,增加 考核 结果 处 理 和 对 关键 岗位 的 考核 要 求 。 

(4) 四 级 。 在 三 级 要 求 的 基础 上 ,增加 保密 制度 和 保密 检查 要 求 。 

4) 安全 意识 教育 和 培训 

保证 信息 系统 的 安全 ,要 注重 对 安全 管理 人 员 的 培养 ,提高 其 安全 防范 意识 ,最 终 做 到 
安全 有 效 地 防范 。 而 当前 绝 大 多 数 漏 洞 存在 的 原因 在 于 管理 员 对 系统 进行 了 错误 的 配置 ， 
或 者 没有 及 时 升级 系统 软件 。 为 确保 员工 在 日 常 工 作 过 程 中 能 时 刻意 识 到 信息 安全 的 威胁 
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和 利害 关系 ,并 支持 机 构 的 信息 安全 方针 ,应 根据 安全 教育 和 培训 计划 对 所 有 员工 进行 培 
训 ,使 其 认识 到 自身 的 责任 ,提高 自身 技能 。 培 训 的 内 容 包 括 单位 的 信息 安全 方针 、 信 息 安 
全 方面 的 基础 知识 .安全 技术 .安全 标准 六 位 操作 规程 、 最 新 的 工作 流程 .相关 的 安全 责任 
要 求 ,法律 责 任 和 惩戒 措施 等 。 

该 控制 点 在 不 同 级 别 主要 表现 如 下 。 

(1) 一 级 。 对 人 员 进 行 基本 的 安全 意识 和 责任 教育 。 

(2) 二 级 。 除 一 级 要 求 外 ,增强 对 安全 教育 培训 的 正规 化 管理 。 

(3) 三 级 。 在 二 级 要 求 的 基础 上 ,侧重 于 不 同 岗位 的 安全 教育 培训 和 制度 化 要 求 。 

5) 外 部 人 员 访 问 管 理 

外 部 人 员 包 括 向 机 构 提供 服务 的 服务 人 员 ,如 软 硬 件 维护 和 支持 人 员 、 贸 易 伙伴 或 合资 
伙伴 清洁 人 员 、 送 餐 人 员 、 保 安 和 其 他 的 外 包 文 持 人 员 等 。 奋 安全 管理 不 到 位 ,外 部 人 员 的 
访问 将 给 信息 系统 带 来 风险 。 因 此 ,在 业务 上 有 与 外 部 人 员 接 触 的 需要 时 ,应 当 对 其 适当 进 
行 临 时 管理 ,对 于 BookApp 系统 的 核心 部 分 应 不 允许 外 部 人 员 的 访问 ,以 确保 其 安全 性 。 

该 控制 点 在 不 同 级 别 主要 表现 如 下 。 

(1) 一 级 。 对 外 部 人 员 访 问 要 得 到 授权 和 审批 。 

(2) 二 级 。 除 一 级 要 求 外 ,增加 了 对 外 部 人 员 的 访问 的 监督 、 备 案 等 过 程 管理 要 求 。 

(3) 三 级 。 在 二 级 要 求 的 基础 上 ,增加 了 访问 书面 申请 ,访问 制度 等 ,更 加 严格 外 部 人 
员 访 问 管理 。 

(4) 四 级 。 除 三 级 要 求 外 ,要 求 外 部 人 员 禁 止 访问 关键 区 域 。 

2. 机 房管 理 制 度 


计算 机 和 网 络 机 房 是 BookApp 系统 人 硬件 资源 的 集中 地 ,网络 机 房管 理 主要 以 加 强 机 房 
物理 访问 控制 和 维护 机 房 良 好 的 运行 环境 为 主 。 

(1) 机 房 钥 是 要 严格 保管 ,不 得 随意 转借 ,一 旦 丢失 要 及 时 报告 并 积极 寻找 ,并 采取 有 
效 措施 对 以 补救 。 

(2) 无 关 人 员 未 经 批准 不 得 进入 机 房 , 更 不 得 动用 机 房 设备 ,物品 和 资料 , 确 因 工作 需 
要 ,相关 人 员 需 要 进入 机 房 操 作 时 必须 经 过 批准 方 可 在 管理 人 员 的 指导 或 协同 下 进行 。 

(3) 机 房 应 保持 清洁 、 卫 生 ,温度 .湿度 适宜 ,机 房 内 严 蔡 吸烟 ,严禁 携 珊 无 关 物 品 尤其 
是 易 燃 、 易 爆 物 品 及 其 他 人 危险 品 进入 机 房 。 

(4) 消防 物品 要 放 在 指定 位 置 ,任何 人 不 得 随意 挪动 ; 机 房 工 作 人 员 要 千 握 防火 技能 ， 
定期 检查 消防 设施 是 否 正 凋 。 出 现 异 稼 情况 应 立即 采取 切断 电源 、 报 冤 、 使 用 灭火 设备 等 正 
确 方式 予以 处 理 。 

(5) 便 件 设备 要 注意 维护 和 保养 ,做 到 设备 物 卡 相符 \ 设 备 使 用 状态 记录 完整 。 

(6) 建立 机 房 登记 制度 ,对 本 地 局 域 网 .广域网 的 运行 情况 建立 档案 。 未 发 生 故 障 或 未 
有 故障 隐患 时 ,网 管 人 员 不 可 对 中 继 、 光 纤 、 网 线 及 各 种 设备 进行 任何 调试 ,对 所 发 生 的 故 
隐 、 处 理 过 程 和 结 打 等 要 做 好 详细 记录 。 

(7) 网 管 人 员 应 做 好 网 络 安全 工作 ,严格 保密 服务 豆 的 各 种 账号 ,监控 网 络 上 的 数据 
流 , 从 中 检测 出 攻击 的 行为 并 给 予 啊 应 和 处 理 。 
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(8) 网 管 人 员 要 对 数据 实施 严格 的 安全 与 保密 管理 ,防止 系统 数据 的 非法 生成 、 变 更 、 
泄露 丢失 及 破坏 。 网 管 人 员 应 在 数据 库 的 系统 认证 、 系 统 授权 、 系统 完 整 性 .补丁 和 修正 程 
序 方 面 实时 修改 。 

(9) 网 管 人 员 对 各 种 网 络 设备 的 使 用 需 按 操作 程序 或 使 用 说 明 书 进行 。 

(10) 经 党 对 硬件 设备 进行 检查 .测试 和 修理 ,确保 其 运行 完好 。 

(11) 所 有 贵重 设备 均 由 专人 保管 ,专人 使 用 ,不 得 外 借 或 由 非 专 业 人 员 单 独 操 作 。 

(12) 中 心机 房 的 所 有 设备 未 经 许可 一 律 不 得 挪用 和 外 借 ,特殊 情况 经 批准 后 办 理 借用 
手续 ,借用 期 间 如 有 损坏 由 借用 单位 或 使 用 人 员 负 责 赔 途 。 

(13) 硬件 设备 发 生 损 坏 、 丢 失 等 事故 ,应 及 时 上 报 ,填写 报告 单 并 按 有 关 规 定 处 理 。 

(14) 中 心机 房 及 其 附属 设备 的 管理 (登记 ) 与 维修 由 网 管 人 员 负 责 。 设 备 管 理 人 员 每 
半年 要 核准 一 次 设备 登记 情况 。 

(15) 中 心机 房 主 机 (系统 服务 顺 )、 网络 服务 器 及 其 外 围 设备 由 网 管 人 员 每 周 进行 一 次 
例 行 检查 和 维护 ,尤其 是 设备 供电 、 运 行 状态 等 要 时 常 检查 和 维护 。 

(16) 软件 要 定期 进行 系统 维护 与 备份 ,备份 至 少 保持 一 式 两 套 , 并 存放 在 温度 .湿度 适 
宜 的 磁 介 质 库存 中 。 

(17) 应 用 软件 .应 用 数据 应 根据 运行 频率 进行 定期 或 不 定期 的 备份 工作 ,备份 软件 和 
数据 应 存放 于 的 磁 介 质 库存 中 。 

(18) 应 用 软件 的 源 程序 除了 在 磁 介 质 上 备份 以 外 ,网 管 人 员 应 自己 进行 备份 ,以 防 应 
用 程序 发 生意 外 而 难以 恢复 。 

(19) 为 了 便于 对 系统 软件 进行 应 用 与 管理 ,机 房 中 须 备 有 与 系统 软件 有 关 的 使 用 手册 
和 各 种 操作 指南 等 资料 ,以 便 维护 人 员 查 阅 。 其 资料 未 经 许可 ,任何 人 不 得 带 出 机 房 。 

(20) 应 用 软件 人 员 应 将 项 目的 调研 资料 、 各 阶段 的 设计 说 明 书 .图表 、 源 程序 、 应 用 系 
统 运行 流程 图 等 进行 分 类 归档 ,以 便 查 阅 。 

(21) 当 应 用 软件 修改 时 ,具体 的 功能 修改 .逻辑 修改 .程序 变动 等 ,都 应 有 相应 的 文档 
记录 ,以 备查 阅 。 

(22) 为 确保 软件 系统 的 安全 , 磁 介 质 除 了 应 有 专人 管理 外 ,还 应 配备 防火 器 具 ,确立 防 
磁 、 防 静电 、 防 灰尘 等 有 效 措施 (建筑 上 保证 ) , 磁 介 质保 管 要 明确 责任 ,遵守 出 入 库 制 度 。 

(23) 网 管 人 员 应 有 较 强 的 病毒 防范 意识 ,定期 进行 病毒 检测 (特别 是 服务 器 ) ,发 现 病 
毒 应 立即 处 理 。 

(24) 采用 国家 许可 的 正版 防 病毒 软件 并 及 时 更 新 软件 版 本 。 

(25) 未 经 领导 许可 ,网 管 人 员 不 得 在 服务 器 上 安装 新 软件 ,车 确实 需要 安装 ,安装 前 应 
进行 病毒 例 行 检测 。 

(26) 经 远程 通信 传送 的 程序 或 数据 ,必须 经 过 检测 确认 无 病毒 后 方 可 使 用 。 

(27) 中 心机 房 安 全 是 关系 到 行业 安全 的 一 件 大 事 ,是 保证 各 个 业务 系统 正常 工作 的 前 
提 条 件 ,因此 必须 坚持 定期 进行 安全 检查 。 

(28) 中 心机 房 自 检 每 年 进行 一 次 , 且 须 认真 做 好 检查 记录 。 

(29) 对 检查 中 发 现 的 问题 将 进行 限期 整改 。 
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3. 运行 安全 制度 

不 仅 在 设计 或 者 维护 上 要 有 制度 ,在 运行 上 也 同样 需要 安全 制度 。 主 要 的 运行 安全 制 
度 如 下 。 

(1) 除 中 心 网 络 管理 机 构 负 责 人 及 其 授权 的 维护 人 员外 ,其 他 单位 或 个 人 不 得 以 任何 
方式 试图 进入 内 部 网 主 、 辅 节点 ,服务 需 等 设备 进行 修改 .设置 .删除 等 操作 ; 任何 单位 和 个 
人 不 得 以 任何 借口 盗 穷 破坏 网 络 设施 ,这 些 行为 被 视 为 对 内 部 网 安全 运行 的 破坏 行为 。 

(2) 内 部 网 中 对 外 发 布 信息 的 Web 服务 器 中 的 内 容 必 须 经 单位 领导 审核 ,由 网 络 负 责 
人 从 技术 上 开通 其 对 外 的 信息 服务 。 

(3) 内 部 网 各 类 服务 器 中 开设 的 账户 和 口令 为 个 人 用 户 所 拥有 ,中 心 网 络 管理 机 构 人 
员 对 用 户口 令 保 密 , 不 得 向 任何 单位 和 个 人 提供 这 些 信息 。 

(4) 网 络 使 用 者 不 得 利用 各 种 网 络 设备 或 软件 技术 从 事 用 户 账户 及 口令 的 侦 听 、 盗 用 
活动 ,该 活动 被 认为 是 对 网 络 用 户 权 益 的 侵犯 。 

(5) 中 心机 关 组 织 内 部 施工 、 建 设 不 得 危害 计算 机 网 络 系统 的 安全 。 

(6) 内 部 网 主 、 辅 节点 设备 及 服务 器 等 发 生 案件 ,以 及 遭 到 黑客 攻击 后 ,中 心 网 络 管理 
机 构 必 须 在 8 小 时 内 向 公安 机 关 报 告 。 

(7) 严禁 在 内 部 网 上 使 用 来 历 不 明 、 引 发 病毒 传染 的 软件 ; 对 于 来 历 不 明 的 可 能 引起 
计算 机 病毒 的 软件 应 使 用 公安 部 门 推荐 的 杀毒 软件 检查 、 杀 毒 。 

(8) 任何 个 人 不 得 在 内 部 网 及 其 联网 计算 机 上 传送 危害 国家 安全 的 信息 (包括 多 媒体 

息 ) , 录 阅 传送 淫秽 、 色 情 资料 。 

(9) 中 心 网 及 子 网 的 系统 软件 .应 用 软件 及 信息 数据 要 实施 保密 措施 。 

(10) 中 心 网 络 管理 机 构 必 须 落 实 各 项 管理 制度 和 技术 规范 ,监控 . 封 博 、 清 除 网 上 有 害 

。 为 了 有 效 地 防范 网 上 非法 活动 ,内 部 网 要 统一 出 口 管理 ,统一 用 户 管理 ,进出 内 部 网 
访问 信息 的 所 有 用 户 必须 使 用 中 心 网 络 负责 人 设立 的 代理 服务 器 、E-mail 服务 器 。 

(11) 中 心 网 络 中 设立 的 服务 器 必须 保持 日 志 记 录 功 能 ,历史 记录 保持 时 间 不 得 低 于 6 
个 月 。 负 责 服务 器 管理 的 网 络 管理 人 员 必 须 按照 有 关 管 理 部 门 要 求 登记 内 容 , 并 按时 上 报 
有 关 信 息 。 

4. 核心 信息 和 资产 访问 制度 

在 应 用 系统 中 建立 核心 信息 和 资产 访问 制度 是 为 了 保证 应 用 系统 受 控 合法 地 使 用 。 用 
户 只 能 根据 自己 的 权限 大 小 来 访问 应 用 系统 ,不 得 越权 访问 。 

(1) 要 求 根据 一 定 的 控制 策略 来 限制 用 户 对 系统 资源 的 访问 ,控制 粒度 较 粗 。 

(2) 控制 粒度 细 化 ,增加 覆盖 范围 要 求 ,并 强调 了 最 小 授权 原则 ,使 得 用 户 的 权限 最 
小 化 。 

(3) 增加 了 对 重要 信息 设置 敏感 标记 ,并 控制 对 其 的 操作 。 

(4) 提出 以 标记 的 方式 进行 应 用 系统 访问 的 控制 。 

从 物理 访问 控制 来 说 ,系统 机 房 出 入 口 应 安排 专人 值守 ,控制 鉴别 和 记录 进入 的 人 员 ， 
且 需 进入 系统 机 房 的 来 访 人 员 应 经 过 申请 和 审批 流程 ,并 限制 和 监控 其 活动 范围 。 从 系统 
访问 控制 来 说 ,对 人 员 进 行 身 份 限制 ,在 登录 系统 的 时 候 根 据 身 份 的 不 同 用 不 同 的 账号 、 密 
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码 登 录 , 并 对 系统 有 不 同 的 访问 控制 权限 ,如 管理 员 经 过 身份 认证 后 可 以 访问 核心 资产 并 对 
数据 做 出 修改 ,而 普通 用 户 只 能 查看 一 些 通用 信息 ,对 关键 数据 是 不 可 见 并 且 不 能 修改 的 。 
5. 备份 恢复 制度 


BookApp 系统 处 理 的 各 种 数据 (用 户 数 据 、 系 统 数 据 、 业 务 数据 等 ) 在 维持 系统 正常 运 
行 上 起 着 至 关 重 要 的 作用 。 一 旦 数据 遭 到 破坏 (泄露 ,修改 、 毁 坏 ) ,都 会 在 不 同 程度 上 造成 
影响 ,从 而 危害 到 系统 的 正常 运行 。 由 于 BookApp 系统 的 各 个 层面 (网 络 、 主 机 、 应 用 等 ) 都 
对 各 类 数据 进行 传输 、 存 储 和 处 理 等 ,因此 ,对 数据 的 保护 需要 物理 环境 、 网 络 数据库 和 操 
作 系 统 、 应 用 程序 等 提供 支持 。 各 个 “关口 ”把 好 了 ,数据 本 身 再 具有 一 些 防御 和 修复 手段 ， 
必然 将 对 数据 造成 的 损害 降 至 最 小 。 

另外 ,数据 备份 也 是 防止 数据 被 破坏 后 无 法 恢复 的 重要 手段 ,而 硬件 备份 等 更 是 保证 系 
统 可 用 的 重要 内 容 , 在 高 级 别 的 信息 系统 中 采用 异地 适时 备份 会 有 效 地 预防 灾难 发 生 时 可 
能 造成 的 系统 危害 。 

保证 数据 安全 和 备份 恢复 主要 从 数据 完整 性 数据 保密 性 .备份 和 恢复 等 3 个 控制 点 

(1) 对 用 户 数据 在 传输 过 程 提出 完整 性 要 求 ,能 够 检测 出 数据 完整 性 受到 破坏 ,同时 能 
够 对 重要 信息 进行 备份 。 

(2) 对 数据 完整 性 的 要 求 增强 ,范围 扩大 。 要 求 鉴别 信息 和 重要 业务 数据 在 传输 过 程 
中 都 要 保证 其 完整 性 。 数 据 保密 性 要 求实 现 鉴别 信息 存储 保密 性 ,数据 备份 增强 ,要 求 一 定 
的 硬件 元 余 。 

(3) 对 数据 完整 性 的 要 求 增 强 ,范围 扩大 。 增 加 了 系统 管理 数据 的 传输 完整 性 ,不仅 能 
够 检测 出 数据 受到 破坏 ,并 能 进行 恢复 。 对 数据 保密 性 要 求 范围 扩大 到 实现 系统 管理 数据 、 
鉴别 信息 和 重要 业务 数据 的 传输 与 存储 的 保密 性 ,数据 的 备份 不 仅 要 求 本 地 完全 数据 备份 ， 
还 要 求 异 地 备份 和 宛 余 网 络 拓扑 。 

(4) 为 进一步 保证 数据 的 完整 性 和 保密 性 ,提出 使 用 专 有 的 安全 协议 的 要 求 。 同 时 , 备 
份 方式 增加 了 建立 异地 适时 灾难 备份 中 心 ,在 灾难 发 生 后 系统 能 够 自动 切换 和 恢复 。 

数据 完整 性 主要 保证 各 种 重要 数据 在 存储 和 传输 过 程 中 免 受 未 授权 的 破坏 ,这 种 保护 
包括 对 完整 性 破坏 的 检测 和 恢复 。 

主要 制度 是 : 能 够 对 用 户 数据 在 传输 过 程 的 完整 性 进行 检测 ,要 求 鉴 别 信息 和 重要 业 
务 数据 在 传输 过 程 中 都 要 保证 其 完整 性 ,不 仅 能 够 检测 出 数据 受到 破坏 ,并 能 进行 恢复 ,要 
求 采 用 安全 专用 的 通信 协议 。 

数据 保密 性 主要 从 数据 的 传输 和 存储 两 方面 保证 各 类 敏感 数据 不 被 未 授权 的 访问 ,以 
免 造 成 数据 泄露 。 

主要 制度 是 要 求 能 够 实现 鉴别 信息 的 存储 保密 性 ,实现 系统 管理 数据 、 鉴 别 信 息 和 重要 
业务 数据 的 传输 与 存储 的 保密 性 ,要 求 采用 安全 、 专 用 的 通信 协议 。 

所 谓 “ 防 患 于 未 然 ”, 即 使 对 数据 进行 了 种 种 保护 ,但 仍 无 法 绝对 保证 数据 的 安全 。 对 数 
据 进 行 备 份 , 是 防止 数据 遭 到 破坏 后 无 法 使 用 的 最 好 方法 。 

通过 对 数据 采取 不 同 的 备份 方式 、 备 份 形 式 等 ,保证 系统 重要 数据 在 发 生 破 坏 后 能 够 恢 
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复 。 人 硬件 的 不 可 用 同样 也 是 造成 系统 无 法 正常 运行 的 主要 原因 。 因 此 ,有 必要 将 一 些 重要 
的 设备 (服务 需 、 网 络 设备 ) 设 置 元 余 。 当 主 设备 不 可 用 时 ,及 时 切换 到 备用 设备 上 ,从 而 保 
证 了 系统 的 正 篆 运行 。 如 果 有 了 能力 的 话 , 对 重要 的 系统 也 可 实施 备用 系统 , 主 应 用 系统 和 备 
用 系统 之 间 能 实现 平稳 、 及 时 地 切换 ,主要 是 能 够 对 重要 数据 进行 备份 ,能 够 提供 一 定 的 便 
件 元 余 ,提供 异地 备份 和 元 余 网 络 折 扑 ,建立 异地 适时 灾难 备份 中 心 ,在 灾难 发 生 后 系统 能 
够 自动 切换 和 恢复 。 


10.7 小 


本 和 草 主 要 针对 一 个 网 上 书城 系统 的 安全 问题 进行 研究 及 分 析 , 从 而 给 出 一 套 安全 解决 
方案 ,但 由 于 时 间 和 能 力 的 限制 ,该 安全 解决 方案 还 有 很 多 地 方 需 要 进一步 完善 ,从 而 使 该 
系统 能 在 一 个 安全 的 环境 中 被 广泛 应 用 。 
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